Archive: 14/02/2018

GDPR

Rationele aanpak van GDPR voorkomt paniek

25 mei 2018 nadert snel. Dat zorgt bij heel wat bedrijven voor paniek. Op die datum treedt de General Data Protection Regulation (GDPR) in werking. En wie niet in orde is, riskeert vanaf dan fikse boetes. Paniek is hier echter een slechte raadgever. Het is beter om het hoofd koel te houden en stap voor stap een plan van aanpak uit te werken.

GDPR heeft als doel om de rechten van een persoon te beschermen voor wat persoonsgebonden data betreft. Wat wil dit concreet zeggen? Een persoon heeft het recht om te weten welke persoonsgebonden data een bedrijf verzamelt. Maar ook met welk doel dit verzameld wordt. En voor welke periode een bedrijf die data behoudt. GDPR verplicht eigenlijk bedrijven zo om ethisch om te gaan met persoonsgebonden data.

Strategie

In het kader van GDPR is het belangrijk dat je een strategie uitwerkt voor het beheer en de beveiliging van persoonsgegevens. Hoe pak je dit aan? Toon aan dat je hebt nagedacht over het transparant omgaan met data. Sta stil bij het feit dat persoonlijke gegevens toebehoren aan personen en niet aan een bedrijf. Documenteer het verzamelen van de data, de doelstelling en het gebruik ervan. Zorg ervoor dat processen inzichtelijk zijn: wie heeft toegang tot de data en wie gebruikt ze waarvoor? Als je er als bedrijf in slaagt een en ander rationeel en stapsgewijs aan te pakken, is er geen reden tot paniek.

Dimensies en risico’s

GDPR heeft drie dimensies voor het beheer en de beveiliging van persoonsgebonden data: een juridische dimensie (contracten in orde brengen), een technische dimensie (de beveiliging van data in informatiesystemen) en een organisatorisch dimensie (het menselijke gedrag rond het beheer en de beveiliging van persoonsgebonden data).

Het is voor een bedrijf een ware uitdaging om deze drie dimensies in hun onderlinge samenhang te zien en daar een beleid voor te ontwikkelen. Concreet moet de onderneming ook de volgende afwegingen maken en de betrokken risico’s afdekken:

  • Welke persoonsgebonden data heeft een bedrijf?
  • Over hoeveel personen gaat het?
  • Zijn alle contracten in orde?
  • Is een audit van de databeveiliging noodzakelijk?
  • Is er voor elke dataverwerking een duidelijk doel en een rechtsgrond?
  • Moet de onderneming een functionaris voor gegevensbescherming (of DPO) aanstellen?
  • Zijn de medewerkers in staat om virussen en phishing e-mails te herkennen?
  • Weten de medewerkers dat het openen van bedrijfsapplicaties op een openbaar wifi-netwerk risicovol is?

Het belang van compliance

Je kan dus als bedrijf klanten kwijt geraken als je niet conform GDPR werkt. Stel dat een onderneming een adresbestand deelt met een drukkerij. Ze willen bijvoorbeeld drukwerk van persoonlijke uitnodigingen voor een evenement. Dan is de uitvoerder verantwoordelijk voor de veiligheid van de persoonsgebonden data. Het is echter aan de opdrachtgever om te controleren of het bedrijf conform GDPR werkt. Doet de drukkerij dat niet, dan is de opdrachtgever verplicht de samenwerking te stoppen. Kortom: de drukkerij heeft er alle belang bij de regels van GDPR na te leven.

GDPR geeft daarnaast een persoon ook de mogelijkheid om een tegen een bedrijf een zaak aan te spannen. Elke persoon kan namelijk de rechter verzoeken om een bedrijf te verbieden een bepaalde categorie van persoonsgebonden data te vergaren. Voor een onderneming betekent dat mogelijk dat ze (tijdelijk) bepaalde data niet mag gebruiken omdat ze niet conform GDPR werkt. Maar opnieuw, paniek draagt niets bij. Het komt er in de eerste plaats op aan een stappenplan op te stellen en daarin alle dimensies en risico’s mee te nemen.

Wil je meer weten over de rationele aanpak van GDPR? Nood aan ondersteuning van je GDPR-strategie? Ontdek ons aanbod!

GDPR

PAS DE PANIQUE, UNE APPROCHE RATIONNELLE DU RGPD

Le 25 mai 2018 approche à grands pas. La mise en place du RGPD, le Règlement Général sur la Protection des Données, qui entre en vigueur à cette date, fait frémir de nombreuses entreprises. Ceux qui ne sont pas en règle risquent de lourdes amendes. La panique, cependant, est mauvais conseiller. Il est préférable de garder la tête froide et d’élaborer pas-à-pas un plan d’actions pour le RGPD.

Le RGPD vise à protéger les droits d’une personne en ce qui concerne les données personnelles. Concrètement: une personne a le droit de savoir quelles données personnelles une entreprise recueille, dans quel but et pour quelle période. Le RGPD oblige ainsi les entreprises à traiter avec éthique les données personnelles.

Stratégie

Dans le cadre du RGPD, il est important que vous développiez une stratégie pour la gestion et la protection des données personnelles. Comment vous y prendre? Montrez que vous avez réfléchi au traitement transparent des données. Considérez le fait que les données personnelles appartiennent à des personnes et non à une entreprise. Documentez la collecte des données, l’objectif et son usage. Assurez-vous que les processus soient transparents: qui a accès aux données et qui les utilise à quelles fins? Si en tant qu’entreprise vous parvenez à gérer les choses de manière rationnelle et que vous vous y prenez pas-à-pas, il n’y a aucune raison de paniquer.

Dimensions et risques

Le RGPD a trois dimensions pour la gestion et la protection des données personnelles: une dimension juridique (contrats corrects), une dimension technique (protection des données dans les systèmes d’information) et une dimension organisationnelle (comportement humain sur la gestion et la protection des données personnelles).

C’est un défi pour une entreprise de voir les trois dimensions dans leur relation mutuelle et de développer une politique cohérente. Concrètement, l’entreprise doit, entre autres, prendre en considération les éléments suivants et tenir compte des risques encourus:

  • Quelles sont les données personnelles d’une entreprise?
  • De combien de personnes s’agit-il?
  • Tous les contrats sont-ils en ordre?
  • Un audit de la protection des données est-il nécessaire?
  • Y a-t-il un objectif clair et une base légale pour chaque traitement de données?
  • L’entreprise devrait-elle nommer un délégué à la protection des données (ou DPD)?
  • Les employés sont-ils capables de reconnaître les virus et les courriels d’hameçonnage?

L’importance de la conformité

Si votre entreprise ne travaille pas conformément au RGPD, sachez que vous pouvez perdre des clients. Supposons qu’une entreprise partage un carnet d’adresses avec une imprimerie, par exemple pour l’impression d’invitations personnelles à un évènement, le sous-traitant est responsable de la protection des données personnelles en sa possession, mais le responsable du traitement doit contrôler si l’entreprise travaille selon le RGPD. Si l’imprimerie ne s’y tient pas, le responsable du traitement devrait mettre un terme à la collaboration. En bref: l’imprimerie a tout intérêt à se conformer aux règles du RGPD.

Le RGPD donne également à une personne la possibilité d’intenter une action contre une entreprise. Toute personne peut demander au tribunal d’interdire à une entreprise de collecter une certaine catégorie de données personnelles. Pour une entreprise, cela signifie qu’elle ne peut (temporairement) pas utiliser certaines données vu qu’elle ne fonctionne pas conformément au RGPD. Mais encore une fois: il ne sert à rien de paniquer. En premier lieu, il s’agit d’élaborer un plan par étapes et de prendre en compte toutes les dimensions et tous les risques.

Voulez-vous en savoir plus sur l’approche rationnelle du RGPD? Besoin de soutenir votre stratégie en RGPD? N’hésitez pas à nous contacter.

Copyright 2019 - QuaData