AVG GDPR COMPLIANCE
Om te voldoen aan AVG GDPR compliance dient er een onderscheid gemaakt te worden tussen zelfstandige zonder personeel, Kmo’s met personeel en bedrijven die specifiek persoonsgegevens verwerken maar volgende onderdelen dienen voor allen in orde gebracht te worden:
-
Dataregister/data-inventaris/gegevensinventaris
De gegevensinventaris is een belangrijk onderdeel van de nieuwe wetgeving. Het is een document dat aantoont waar, welke persoonsgegevens zich bevinden binnen de organisatie en dient voorgelegd te kunnen worden bij eventuele controle door de privacy commissie. (https://www.gegevensbeschermingsautoriteit.be)
Het register van Privacy Assured bestaat uit 2 grote onderdelen:
-Een schematische voorstelling van de informatiestromen
-Een oplijsting van welke data, waar wanneer en door wie wordt gebruikt
Het register is verplicht voor alle Kmo’s en voor bedrijven, in eenmanszaken, die persoonsgegevens verwerken. De wet is niet zo duidelijk voor zelfstandigen zonder personeel, dus wordt dit aangeboden als optie.
-
Privacy beleid
Het opstellen van een beleidsnota is een belangrijk onderdeel naar AVG GDPR compliance. De wetgeving is ingevoerd met als doel de bescherming van persoonsgegevens binnen bedrijven maar het bedrijf beslist autonoom hoe ver hierin gegaan wordt.
Het web statement van Privacy Assured wordt op maat van het bedrijf geschreven is direct publiceerbaar. De mogelijkheid bestaat om dit document aan te passen voor intern als extern gebruik.
-
Inbreukprocedure
De wet verplicht iedereen die AVG GDPR compliance moet zijn, een procedure te hebben ingeval van schending van de privacy van personengegevens. De procedure omschrijft de stappen die het bedrijf dient te nemen in het geval van inbreuk.
Het pakket omvat de inbreukprocedure, een incidenten-template, het officiële aangifte document van de privacy commissie en een modelbrief voor het op de hoogte te stellen van de betrokkenen.
-
Verwerkingsovereenkomst
De verwerkingsverantwoordelijke is verplicht een overeenkomst te hebben met elke andere partij waar er een uitwisseling van persoonsgegevens plaats heeft. Grotere bedrijven zoals sociale secretariaten, alhoewel ze verwerker zijn, zullen het bedrijf deze documenten aanleveren. Maar voor de kleinere partners is het bedrijf hiervoor verantwoordelijk.
Privacy Assured levert een standaard modeldocument aan samen met een bijlage betreffende de aard en het doel van de verwerking en een bijlage betreffende beschermingsmaatregels.
-
Procedure rechten van de betrokkenen
De rechten van de betrokkene(n) staan uitvoerig beschreven in de wettekst. De procedure rechten van de betrokkenen is niet verplicht om AVG GDPR compliance te zijn. Maar de uitoefening van deze rechten, zonder een procedure kan zeer belastend zijn voor de administratieve diensten van het bedrijf.
Naast de procedure zelf, word een voorbeeld van uitvoeringsmodaliteiten meegeleverd.
-
Gegevensbeschermingseffectbeoordeling procedure
De gangbare term voor deze is (Data) Privacy Impact Assessment of (D)PIA en dient te gebeuren op voorhand en wanneer verwerkingen gebeuren die waarschijnlijk een hoog risico inhouden. Dit met als doelstelling een zicht te hebben op de impact van de informatiestroom van persoonsgegevens en aldus de correcte beslissingen, maatregelen te nemen. De procedure is niet verplicht voor zelfstandigen zonder personeel die geen personengegevens verwerken, maar het is wel aan te raden om een procedure te hebben.
De procedure geleverd door Privacy Assured bestaat uit 3 delen:
– De procedure
– De initiële screening waaruit blijkt of een volledige PIA noodzakelijk is
– Template voor een volledige screening
-
Verantwoordelijkheden personeel
Indien het bedrijf personeel in dienst heeft, dient deze geïnformeerd te worden over de rechten en de plichten met betrekking tot de nieuwe privacywetgeving.
Dit onderdeel van het pakket bevat een beleidsverklaring van het bedrijf met betrekking tot de waarborging van de rechten van de betrokkenen, een modelvoorbeeld van mogelijke verantwoordelijkheden van de betrokkenen en een voorbeeld van een disclaimer met betrekking tot het gebruik van persoonsgegevens.
-
GDPR Compliance test
Om AVG GDPR compliance te bewijzen moet het bedrijf aantonen dat iedereen binnen het bedrijf voldoende geïnformeerd is. Privacy Assured heeft een web gebaseerd test ontwikkeld die gemakkelijke kan uitgerold worden naar het ganse personeelsbestand
Link naar de verklarende woordenlijst
Nieuws: Belgische gegevensbeschermingsautoriteit schrijft eerste GDPR-boete uit