EduQuiz: GDPR van Basefarm - zomer 2017 Op tijd klaar voor mei 2018? De GDPR treedt in werking vanaf mei 2018. Bent u daar op tijd klaar voor? Veel mensen weten nog niet precies wat de nieuwe regelgeving inhoudt en wat ze moeten doen. Geldt dat ook voor u of bent u misschien al verder dan u dacht? Met onze kleine EduQuiz kunt u een beetje kijken waar u staat! In de General Data Regulation Protection (GDPR) zijn de regels opgenomen voor het verzamelen en verwerken van persoonsgegevens. Niet iedereen realiseert zich dat, maar het gevaar zit hem in de torenhoge boetes die ook tot de mogelijkheden behoren. En bekijk het ook eens van de andere kant: goed omgaan met persoonsgegevens hoort bij een goede klantenservice en zorgt voor meer trouwe en tevreden klanten. Persoonsgegevens worden over het algemeen opgeslagen in IT-systemen. Als leverancier van bedrijfskritische IT-systemen is het voor ons bij Basefarm niet meer dan logisch om bedrijven te helpen met advies, voorlichting en technische maatregelen voor de GDPR. Waarschijnlijk zal de EduQuiz (educational quiz) u nieuwe kennis bieden én aangeven of u op de goede weg bent. Wat de uitkomst ook is, Basefarm kan u helpen bij uw voorbereiding voor de GDPR. Onze eigen experts beschikken over een diepgaande kennis van de regelgeving. Ze kunnen organisatorische en technische aanpassingen doorvoeren om IT-systemen helemaal in lijn te brengen met de verordening. BASEFARM BV BEECHAVENUE 106 1119 PP SCHIPHOL-RIJK TEL. +31 20 406 64 66 - WWW.BASEFARM.NL - INFO@BASEFARM.NL
Vragen (antwoorden en evaluatie vindt u onderaan in het document) Vraag 1 Even als warming-up! Is uw bedrijf al begonnen aan de GDPR-compliance? Vraag 2 Geldt de GDPR voor alle soorten bedrijven? Vraag 3 Hebt u overzicht over de soorten persoonsgegevens die u verzamelt en waar die vandaan komen? Vraag 4 Hebt u overzicht over wáár persoonsgegevens (data) zijn opgeslagen (ERP, HR/loon/reiskosten, CRM, online-verkoop, website/persoonlijke cookies, intranet enz.)? Vraag 5 Kan uw bedrijf goed laten zien hoe en op welke basis er wordt omgegaan met persoonsgegevens? Vraag 6 Hebt u een plan voor het beschermen van de privacy in nieuwe IT-oplossingen? Vraag 7 Hebt u procedures voor de aanpak van inbreuken als het gaat om de behandeling van persoonsgegevens? Vraag 8 www.basefarm.nl 2 van 6
Is dit type wetgeving (GDPR) nieuw in Noorwegen? Vraag 9 Voldoet uw bedrijf op dit moment aan de wetgeving op het gebied van persoonsgegevens? Vraag 10 Weet u welke onderdelen van de GDPR nieuw zijn ten opzichte van de huidige wetgeving op het gebied van persoonsgegevens? Vraag 11 Kunt u de verantwoordelijkheden op het gebied van de GDPR uitbesteden? Vraag 12 Kan de GDPR van de EU (verordening gegevensbescherming) gevolgen hebben voor organisaties/bedrijven in Noorwegen buiten de EU? Vraag 13 Vallen de gegevens van EU-burgers ook onder de GDPR als ze buiten de EU zijn opgeslagen? www.basefarm.nl 3 van 6
Antwoorden (evaluatie vindt u onderaan in het document) Vraag 1 Ook een punt voor "weet ik niet" omdat u waarschijnlijk nieuwsgierig zult zijn en op onderzoek zult uitgaan. En dat is prima! = 3 punten = 0 punten = 1 Vraag 2 Het soort bedrijf is niet van belang. De vraag is of het bedrijf persoonsgegevens van EU-burgers opslaat en verwerkt. = 3 punten = 0 punten = 0 Vraag 3 Het is belangrijk om persoonsgegevens in te delen in categorieën. Daarbij zijn er 2 hoofdcategorieën: gevoelige en niet-gevoelige persoonsgegevens. = 3 punten = 0 = 1 Vraag 4 Een bedrijf moet dit weten. Bedrijven die persoonsgegevens doorgeven aan units buiten de EU of andere goedgekeurde landen moeten hier overeenkomsten en voorwaarden aan koppelen. = 3 punten = 0 = 1 Vraag 5 Een van de belangrijkste uitgangspunten bij de nieuwe regelgeving voor de bescherming van de privacy is dat het bedrijf dat de persoonsgegevens gebruikt ook verantwoordelijk is voor de naleving van de regels. De functionaris voor gegevensbescherming moet er onder andere voor zorgen dat de bescherming voldoende én proportioneel is en dat de persoonsgegevens zijn beschermd tegen niet-geoorloofde of onrechtmatige behandeling dan wel het onopzettelijk verliezen, vernietigen of beschadigen ervan. https://www.datatilsynet.no/regelverk-og-skjema/veiledere/nytt-ominformasjonssikkerhet/?id=7200#content_1 = 3 punten = 0 punten = 0 Vraag 6 Nieuwe systemen moeten zó worden ontwikkeld dat de privacy optimaal beschermd is. Dat wordt "ingebouwde privacy" genoemd. De meest privacyvriendelijke instellingen moeten standaard zijn in alle systemen. www.basefarm.nl 4 van 6
= 3 punten = 0 punten = 0 Vraag 7 Eisen die zijn opgenomen in de GDPR. In de verordening zijn eisen opgenomen die aangeven wanneer er moet worden gewaarschuwd, wat die waarschuwing moet inhouden en wie er gewaarschuwd moet worden. = 10 punten = 0 punten = 1 punt voor de eerlijkheid Vraag 8, de Noorse wetgeving op het gebied van persoonsgegevens ligt al goed op koers. = 0 punten = 3 punten = 0 Vraag 9 Als u zich aan die wet houdt, ligt u al goed op koers en scoort u goed bij deze test! = 30 punten = 0 punten Gedeeltelijk = 5 Vraag 10 Als u dat weet, bent u qua GDPR-compliance al een flink eind op weg en scoort u goed! = 10 punten = 0 punten Vraag 11. Een bedrijf of een verwerkingsverantwoordelijke is altijd verantwoordelijk voor de privacy van zijn klanten of consumenten. Wel kan hij samenwerken met een dienstverlener (verwerker) als Basefarm, die dan de praktische verantwoordelijkheid op zich kan nemen. = 0 punten = 3 punten = 0 punten Vraag 12 Alle organisaties ter wereld die diensten aanbieden aan een EU-lidstaat, moeten voldoen aan de GDPR en moeten zich op privacygebied houden aan de verordening. = 2 punten = 0 = 1 Vraag 13. Ook voor gegevensoverdracht buiten een EU-lidstaat zijn er eisen opgenomen in de GDPR. Denk aan het verwerkingscontract (en de BCR, de Binding Corporate Rules)! = 3 punten = 0 punten = 1 punt www.basefarm.nl 5 van 6
Evaluatie 46 punten of meer: U bent prima op weg met uw GDPR-compliance. Ga zo door en u bent op tijd klaar. 24-45 punten: U hebt al veel geregeld, maar het lijkt er wel op dat u zich zult moeten verdiepen in de GDPR-wetgeving en dat u de procedures en de documentatie voor het verzamelen en verwerken van persoonsgegevens goed op orde moet brengen. 0-23 punten: Als u in de buurt komt van de 23 punten, heeft u redelijk kennis maar extra aandacht nodig voor de GDPR en de verwerking van persoonsgegevens. Misschien is het tijd om een goed overzicht te krijgen van uw interne situatie. Mei 2018 duurt niet zo lang meer en het kan verstandig zijn om even goed gas te geven om uw GDPR-traject tegen die tijd goed op orde te hebben. www.basefarm.nl 6 van 6