Zorgondersteuning vzw blogt: “Are we GDPR-proof?”

“Are we GDPR-proof?”
Of is er nog wat werk aan de winkel?


25 mei 2018, de dag waarop géén enkele organisatie nog veilig is voor de nieuwe wetgeving rond gegevensbescherming. Hoe voldoen wij als organisatie aan GDPR en heeft dit gevolgen voor u? We zetten enkele belangrijke feiten op een rijtje, samen met hoe wij hieraan willen voldoen.

De GDPR – ofwel General Data Protection Regulation, ook wel gekend als de Algemene Verordening Gegevensbescherming (AVG) – gaat op 25 mei 2018 van kracht. Hiermee wil Europa persoonsgegevens van zijn Europese burgers beter beschermen in een wereld die steeds meer gebaseerd is op dataverzameling.

Elke organisatie, elk bedrijf, zelfs elke vzw die persoonlijke gegevens van klanten, prospecten, leveranciers, medewerkers of wie dan ook verwerkt, valt onder deze nieuwe wetgeving. Praktisch betekent dit dat geen enkele organisatie ontsnapt aan de dans en dus de nodige maatregelen zal moeten treffen. Ook Zorgondersteuning moet dus aan deze nieuwe wetgeving voldoen.

Is de verordening ook op ons van toepassing? Dit valt te achterhalen met één simpele vraag: “Verwerken wij persoonsgegevens van EU-burgers?”

 

Wat zijn nu persoonsgegevens?

Onder persoonsgegevens verstaan we alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare, levende, natuurlijke persoon. Dus: alle informatie die direct gekoppeld kan worden aan het persoonlijke, publieke of professionele leven van een individu.

Dit kan gaan over naam en achternaam, een e-mailadres (met uitzondering van de info@onderneming.be), een telefoonnummer (ook die op het werk), een bankrekeningnummer, medische gegevens, nummer van identiteitskaart, internetprotocoladres (IP-adres) ed.

 

 

Welke gegevens verzamelt Zorgondersteuning over mij?

Dat zijn uw naam en voornaam, eventuele persoonlijke contactgegevens, uw functie, de organisatie waar u voor werkt en de contactgegevens hier aan gerelateerd, uw aanwezigheid bij activiteiten, opleidingen, activiteiten van derden en of u onze nieuwsbrieven leest/ aanklikt/ …

GDPR draait om enkele begrippen, en die overlopen wij graag eens met u:

TRANSPARANTIE

U moet op een transparante en begrijpelijke wijze geïnformeerd worden over de manier waarop wij (en met ons andere bedrijven) uw data verwerken.
U heeft het recht de persoonsgegevens die over u worden verwerkt te verifiëren en op te vragen. De persoonsgegevens moeten dus toereikend en relevant zijn en beperkt blijven tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Hoeveel huisdieren u heeft is niet relevant voor Zorgondersteuning en wordt dus niet verwerkt/ bijgehouden of geanalyseerd.

VERANTWOORDING

Als organisatie hebben wij verantwoordingsplicht en moeten wij kunnen aantonen dat wij de beginselen naleven.
Wij treffen tussen nu en 25 mei dus passende technische en organisatorische maatregelen die garanderen en aantonen dat wij deze verordening zullen naleven.

TOESTEMMING

Gegevens verzamelen mag wettelijk gezien slechts wanneer er een ‘rechtsvaardigheidsgrond’ voor bestaat. Toestemming moet steeds duidelijk en uitdrukkelijk zijn en niet stilzwijgend. U moet dus ingelicht worden over de verwerking waarvoor u toestemming geeft.
Intrekken van de toestemming moet ten alle tijden eenvoudig mogelijk zijn. Zo moet unsubscriben van een nieuwsbrief per 25 mei direct gaan, en mag er geen drie keer gevraagd worden of je het ècht, alsjeblief, wel 200{9c9e222492ea9c50bf2ee885e90ce95793f9a583c9ebffef4dab334a96eb0c83} zeker weet.

 

Een rechtsvaardigheidsgrond kan zijn:

  • U heeft toestemming gegeven, bvb omdat u onze nieuwsbrief wil ontvangen.
  • De verwerking is noodzakelijk om bepaalde redenen, bv. het uitvoeren van een overeenkomst of om te voldoen aan bepaalde wetgeving

DATALEK

Het digitaal of online bewaren brengt met zich mee dat zwak of niet-beveiligde gegevens gelekt of gestolen kunnen worden. Wij zullen uiteraard het nodige doen om dit te voorkomen.
Denk bijvoorbeeld aan antivirusbescherming, servers en netwerken beschermen, het up-to-date houden van gebruikte software enz.

Indien er zich een datalek zou voordoen, dan moeten wij binnen de 72 uur de betrokken toezichthoudende autoriteit op de hoogte brengen wanneer deze een risico inhoudt voor de rechten en vrijheden van personen.
Een inbreuk op persoonsgegevens betekent een inbreuk op de beveiliging.

RECHTEN VAN DE BETROKKENE

Naast plichten voor Zorgondersteuning vzw bevat de wetgeving ook een aantal rechten voor u:

  • Recht op wissen van uw persoonsgegevens
  • Bezwaar van verwerking in bepaalde specifieke gevallen
  • Recht op inzage in uw persoonsgegevens en ander aanvullende informatie

 

Vanaf 25 mei 2018 kan niet-naleving leiden tot zware boetes, in theorie €20.000.000 of 4{9c9e222492ea9c50bf2ee885e90ce95793f9a583c9ebffef4dab334a96eb0c83} van de totale omzet, afhankelijk van wat het hoogst is.

Wij lieten ons voor deze blog begeleiden door onze structurele partner Moore Stephens. Meer informatie over hoe zij ook uw organisatie kunnen helpen vindt u via General Data Protection Regulation.