GDPR - deel 4: eindelijk iets praktisch

GDPR_4


16.400.000 Hits bij Google…
Zeggen dat dit onderwerp leeft is het 'understatement' van het jaar.
De meest zoekresultaten leggen echter teveel de nadruk op de waanzinnig hoge boetes of schadevergoedingen en
prijzen in hetzelfde bericht hun 'uitzonderlijke' diensten aan om ze te vermijden.
De 'nieuwe' wetgeving is echter geen bedreiging, maar biedt mogelijkheden voor een betere dienstverlening en optimalisatie van uw bedrijf.

Hieronder volgt een stappenplan dat je kan volgen om je kantoor of bureau GDPR "compliant" te maken:

1. Creëer bewustzijn bij je medewerkers

Niet alleen jijzelf, maar alle medewerkers binnen uw organisatie moeten zich bewustzijn van de nieuwe regelgeving
en hoe ze er moeten mee omgaan.
Dit is belangrijk om de impact van de GDPR te kunnen inschatten en de noodzakelijke aanpassingen in kaart te brengen.

2. Meten is weten

Breng de bedrijfsprocessen in kaart.
Hoe komen de gegevens binnen en hoe verloopt de verdere uitwisseling.
De verscheidenheid aan processen of fasen varieert naargelang de grootte van uw bedrijf.
Maar voor iedereen geldt: ga overzichtelijk te werk en bekijk proces per proces.

Bijvoorbeeld: (een overgesimplifieerde datastroom binnen eenarchitectenbureau)
Na een gesprek met uw klant worden er documenten opgemaakt, inlichtingen verzameld, een bouwaanvraag ingediend, aannemers gecontacteerd en tenslotte een bouwproces gestart met één of meerdere aannemers. Dit is duidelijk één van de belangrijkste datatstromen binnen uw bureau. Let er op dat elk dergelijk proces deelprocessen kan omvatten.


3. Go with the flow...

Breng per fase overzichtelijk en duidelijk de gegevensstromen in kaart.
Zo weet je welk traject (persoonlijke) data van het begin tot het einde binnen en buiten jouw onderneming volgen.

Maak eventueel gebruik van één of meerdere stroomdiagrammen (flowcharts) om de dataflows te visualiseren.

Bijvoorbeeld:
GDPR_architectuur flowchart

4. Mind the gap...

We weten nu over welke persoonlijke data we beschikken, hoe we ze gebruiken en waar ze uiteindelijk belanden.
Met deze informatie (de datastroom die in kaart werd gebracht) kunnen we nu met een grondigere audit of gap-analyse (de analyse van verschillen tussen de gewenste en de huidige situatie) beginnen.

Bijvoorbeeld:
In het kader van een architectuuropdracht verzamelt u verschillende persoonlijke gegevens:
elementaire contactdata (naam, adres, e-mail, ...), een kopie van de identiteitskaart (voor het aanmelden bij het omgevingsloket) of zelfs financiële informatie.


Enkele vragen die bij een dergelijke analyse naar boven komen:

4.1. Op welke basis verwerken wij de persoonlijke data?
Het verwerken van persoonlijke data is rechtmatig wanneer ze gebaseerd is op de toestemming van de betrokkene of wanneer de verwerking noodzakelijk is in uitvoering van een overeenkomst of om te voldoen aan een wettelijke verplichting.

Bijvoorbeeld:
Voor architecten- of studiebureaus is het nog vrij eenvoudig. Voor het verwerken van de meeste data bestaat er een wettelijke verplichting (vanwege de overheid voor bv. het indienen van de bouwaanvraag of fiscaal bij het voeren van de boekhouding). Het opnemen van uw klant in bv. een referentielijst ligt reeds gevoeliger. Hiervoor heb je een éénduidige toestemming (opt-in) nodig van je klant.

4.2. Is de verwerking van deze data noodzakelijk voor de uitvoering van mijn beroepstaken?
Hou steeds rekening met het nagestreefde doel, gekoppeld aan het principe van dataminimalisatie.
Dit veronderstelt dat de rechtmatigheid van de verwerking zich beperkt tot hetgeen strikt noodzakelijk is of tot het specifieke doel waarvoor de toestemming bekomen is.

Bijvoorbeeld:
Je denkt er aan om achteraf je klant een tevredenheidsenquête toe te sturen.
Net zoals voor het opnemen van zijn gegevens in je referentielijst, heb je hiervoor zijn expliciete toestemming nodig aangezien dit niet langer nodig is voor het uitvoeren van je opdracht.

4.3. Delen we de persoonlijke data met derden?
Vooreerst, de GDPR verbiedt dit niet!
Zorg wel dat je over de vereiste toestemming(en) beschikt en je transparant en duidelijk communiceert over deze overdracht aan de betrokkenen.
Weet met welke derde je zaken doet en dek je aansprakelijkheid contractueel goed in.

Bijvoorbeeld:
Gedurende het volledige bouwproces worden er voortdurend inlichtingen verzameld en fabrikanten of aannemers gecontacteerd.
Meestal gaat dit gepaard met de uitwisseling van persoonlijk gegevens van de opdrachtgever.
Het is bijgevolg aangewezen om in de overeenkomst te noteren zodat je een duidelijke opt-in hebt
.

4.4. Hoe houden we de persoonlijk data bij en voor hoe lang houden we ze bij?
Er worden strikte eisen gesteld aan de gegevensopslag en de termijnen waarbinnen je de persoonlijk data mag opslaan.
Ga na of je databases en andere digitale of papieren documenten correct beveiligd zijn.
Controleer of er een procedure voorhanden is wanneer een datalek zou plaatsvinden.
Houd rekening met het principe van dataretentie en besef dat ook de opslag van persoonlijke data een duidelijke reden vereist en in tijd wordt beperkt.

Bijvoorbeeld:
de klanten data zal je met de nodige paswoorden veilig moeten opslaan.
Het is verder ook belangrijk dat niet iedereen in je organisatie toegang heeft tot de klantenlijsten en ze bijvoorbeeld kan downloaden.
Je klanten zijn cruciaal voor je onderneming en je wil niet dat die in verkeerde handen terecht komen.
Eenvoudige gesteld mag je de gegevens niet langer bijhouden dan noodzakelijk.
Meestal wordt deze termijn bepaald door externe verplichtingen (10-jarige aansprakelijkheid, verplicht bijhouden van boekhoudkundige gegevens, …)


5. Keep calm and just comply.

Met de resultaten van deze audit kunnen we de aanpassingsfase opstarten.

5.1. Aanpassen of invoeren van contracten.
De principes van de GDPR zullen in de contracten met klanten, leveranciers of zelfs werknemers moeten worden opgenomen. Je zal op een duidelijke en transparante manier met de betrokkene moeten communiceren over de verwerking van zijn gegevens of aangeven wat er met de data kan, mag of moet gebeuren.

Geef je data door aan derden (bv. hosting, sociale media of cloud-opslag), dan moet je garanties krijgen dat de data in overeenstemming met de GDPR wordt verwerkt.
Hetzelfde geldt voor de externe actoren in het bouwproces (studiebureau's, aannemers, fabrikanten, …)

Het aanpassen van bestaande clausules in samenwerkings- en/of dienstverleningsovereenkomsten kan nodig zijn gelet op de verruimde aansprakelijkheid die wordt ingevoerd.

Onderzoek of het noodzakelijk is om rechtstreeks contracten op te maken met aannemers specifiek voor de verwerking van de documenten en data die ze van u ontvangen.

5.2. Het aanbrengen van (extra) IT-databeveiliging
Neem naast organisatorische maatregelen ook voldoende technische maatregelen om het vereiste beveiligingsniveau te garanderen.
Denk aan: netwerk- en applicatiebeveiliging, malware bescherming, sterke authenticatie, storage en back-up, data encryptie, fysieke beveiliging van het data opslag, beveiliging van mobiele toestellen, monitoring en rapportering.
Zorg er ook voor dat je op tijd en stond een security audit organiseert.

5.3. Het aanpassen of invoeren van procedures
De GDPR verwacht dat je een aantal procedures uitwerkt en invoert, bijvoorbeeld voor klachten, datalekken, het aanleggen van een dataregister, enz...
De procedures weerspiegelen de manier waarop met data wordt omgegaan binnen de onderneming en wat er moet gebeuren als het fout loopt.
De verplichting om bijvoorbeeld een dataregister aan te leggen, kan hierbij helpen.
Dat is een overzicht van welke persoonlijke data je waar gebruikt en wie ze verwerkt.
Neem hierin minstens volgende gegevens in op:
de contactgegevens van de verwerker, de verwerkte data, de categorie van de verwerkte data, eventuele flows of overdrachten van data, de dataretentieperiodes (periode dat je de data bijhoudt) en de genomen databeschermingsmaatregelen.

6. All day and all of the night

Niet dat je voor de GDPR je slaap moet laten, maar het moet wel een automatisme worden.
Beschouw privacy als een vast onderdeel binnen je bedrijf.
Maak bij elk nieuw project de overweging of er persoonlijke data mee gemoeid zijn die conform de GDPR moet worden verwerkt.
Beschouw dit als een meerwaarde.
Weten over welke data je beschikt en hoe je die kan gebruiken in je relatie met klanten kan leiden tot optimalisatie van processen, kostenbesparingen, een betere reputatie of zelfs extra businessontwikkeling.
Met de juiste ingesteldheid kan GDPR een echte boost geven in je bedrijf.

Conclusie
Het is belangrijk dat je dit stappenplan doorloopt om inzicht te krijgen en de nodige aanpassingen door te voeren.
Misschien kan de vragenlijst opgemaakt door UNIZO u hierbij helpen: GDPR Checklist

De meeste stappen worden door het merendeel van de architecten- of studiebureau's reeds in min of meerdere mate, bewust of onbewust gevolgd.
Ze dienen echter te worden verfijnd, aangevuld en structureel in de werking van het bureau te worden opgenomen.
Een belangrijk (verplicht) hulpmiddel hierbij is het dataregister.
Hierover vertellen we meer in de volgende aflevering.



GDPR - deel 4: eindelijk iets praktisch
GDPR - deel 3: de basisprincipes
GDPR - deel 2: het verschil
GDPR - deel 1: inleiding
AVG, GDPR, Privacy?