GDPR

GDPR, de nieuwe Europese regelgeving rond privacy, wordt van kracht op 25 mei 2018. Maar wat betekent deze nieuwe Europese wetgeving voor jou als klant van Nucleus? We zetten de belangrijkste dingen nog even op een rijtje.

4 algemene dingen die je moet weten

GDPR staat voor General Data Protection Regulation. In het Nederlands wordt dat Algemene Verordening Gegevensbescherming (AVG). De nieuwe regelgeving zorgt voor een strengere bescherming van privacy. Wat moet je daarover weten?

  1. Het verzamelen van data wordt strenger geregeld. Zo wordt ondermeer de regelgeving rond expliciete toestemming veel strenger. Iedere persoon mag ook altijd vragen om zijn gegevens in te zien of te laten verwijderen.
  2. Het begrip “persoonsgegevens” wordt uitgebreid met een aantal extra datatypes. Persoonsgegevens worden omschreven als alle data waarmee een persoon te identificeren valt. Vandaar dus dat bijvoorbeeld een nummerplaat, consumptiegedrag of een IP-adres vanaf nu ook tot “persoonsgegevens” behoren.
  3. De wetgeving is gelijk voor alle bedrijven en organisaties binnen de EU, ongeacht hun grootte of locatie. Wordt er data van EU-burgers verwerkt door bedrijven buiten de EU, dan is GDPR ook voor hen van toepassing.
  4. De wet voorziet hoge boetes wanneer de verzamelde data niet correct worden beheerd, een datalek niet wordt gemeld of het bedrijf geen risico-audit doet. Boetes kunnen oplopen tot 4 procent van de omzet, met een maximum van 20 miljoen euro.

3 rollen die je moet kennen binnen GDPR

De GDPR regels zijn best complex. Zeker omdat je als bedrijf of organisatie soms in verschillende rollen terechtkomt. Een woordje uitleg.

  1. Datasubject: dit is de persoon van wie persoonlijke informatie verwerkt wordt, ook wel betrokkene genoemd.
  2. Dataverwerkingsverantwoordelijke: dit is de degene die de gegevens verzamelt. Wanneer jij naam, adres, betaalgegevens, enz. van jouw klanten verzamelt, ben jij dataverwerkingsverantwoordelijke.
  3. Dataverwerker: dit is degene die de data opslaat of verwerkt, zoals bepaald door de dataverwerkingsverantwoordelijke. Wanneer jij als klant van Nucleus vraagt om een back-up te maken van je klantendata, is Nucleus de dataverwerker.

Nu je dat allemaal weet, kunnen we gaan kijken wat jij moet doen om in orde te zijn met de GDPR-regels en waar Nucleus voor zorgt.

Wat moet jij doen voor je eigen bedrijf of organisatie?

Als bedrijf of organisatie moet je uiteraard zorgen dat je zelf volledig in orde bent met de GDPR-regelgeving. In dit geval zit jij in de rol van dataverwerkingsverantwoordelijke. Dat betekent ondermeer:

  • dat je moet zorgen dat het verwerken van persoonlijke gegevens toegestaan is (door de regelgeving te volgen)
  • dat je moet zorgen dat al je data voldoende beschermd is
  • dat je elke schending van je beveiliging (een zogeheten data breach) waarbij persoongegevens betrokken zijn binnen de 72 uur moet melden aan de autoriteiten (in België is dat de privacycommissie). Gaat het om een datalek met een “hoog risico” dan moeten ook de betrokkenen in kwestie geïnformeerd worden.

Om alle regels te kennen, neem je best een kijkje op de website van de privacycommissie.

Wat moet jij doen als klant van Nucleus?

Als klant van Nucleus moet jij ons laten weten welk soort data je bij ons plaatst (niet de inhoud, enkel het soort data) en aangeven hoe wij die verwerken (lees: hosting, back-ups, replicatie, enz.). Dat kan door een dataregister in te vullen. Wij bezorgen je binnenkort een mail met daarin een link naar een online formulier waar je alles kan invullen.

Het dataregister is een overzicht van het soort persoonsgegevens dat je verwerkt, waar ze vandaan komen en met wie ze gedeeld worden. Dat register moet te allen tijde een accuraat overzicht geven. Als er ooit een datalek is, dient dat register namelijk als bewijs dat de regels wel degelijk gevolgd werden.

Daarnaast zullen wij aan ons bestaande contract ook de regelgeving rond GDPR nog toevoegen. Met dit nieuwe document zal alles dan ook contractueel vastgelegd zijn.

Wat doet Nucleus?

Nucleus heeft een dubbele rol: die van dataverwerker (voor de data van jouw klanten die jij bij ons plaatst) én die van dataverwerkingsverantwoordelijke (voor jouw persoonlijke data als klant van Nucleus).

Als dataverwerker zorgen wij voor de data die jij als dataverwerkingsverantwoordelijke verzameld hebt. In die rol zorgen wij ervoor dat

  • het duidelijk is wie legale verantwoordelijkheid draagt. Afhankelijk van het type dienst dragen wij als verwerker meer of minder verantwoordelijkheid.
  • elke medewerker perfect op de hoogte is van alles wat GDPR inhoudt
  • je data maximaal beveiligd is (dankzij ons ISO 27001-certificaat voor databeveiliging)
  • we logs bijhouden van dataverwerkingen die we doen op jouw data
  • een eventuele schending van de beveiligingen op door ons beheerde infrastructuur, zo snel mogelijk aan jou gemeld wordt
  • we van dichtbij opvolgen welke inspanningen onze leveranciers en partners doen om GDPR-compliant te worden
  • je beveiligde toegang krijgt tot jouw gegevens of we je een kopie ervan bezorgen wanneer je als klant kiest voor een andere dataverwerker

Als dataverwerkingsverantwoordelijke beheren wij dan weer jouw eigen persoonlijke informatie (als klant van Nucleus). We zorgen ervoor dat we ook in die rol GDPR-compliant zijn. Dat betekent dat jij als datasubject een aantal rechten hebt.

  • Je mag je data inkijken en indien nodig laten verbeteren
  • Je mag ten allen tijde je mailvoorkeuren wijzigen of je actieve toestemming terugtrekken. Dat kan hier.
  • Je mag informatie over je data vragen (hoe lang wij je data bewaren, waarom wij die data verzamelen,  welke personen/organisaties er toegang toe hebben, enz.).
  • Je mag vragen om je gegevens te wissen. Dit betreft gegevens waarvoor actieve toestemming gegeven is of wanneer er een gerechtvaardig belang is. Data die om contractgerelateerde redenen nodig is (om facturen te kunnen sturen of bepaalde technische aanpassingen te melden, bijvoorbeeld), vallen onder wettelijk bepaalde bewaartermijnen. Na deze termijnen worden de gegevens automatisch gewist.

 

 

Gerelateerde berichten
Netneutraliteit

Waarom onze overheid netneutraliteit moet garanderen

Een recent artikel van freelance journalist Jan Jacobs over netneutraliteit op Doorbraak.be deed ons steigeren. Zo erg zelfs dat we ons bijna afvragen op hij betaald werd door Proximus of Telenet om zo’n stuk neer te poten.

Lees meer

Meet the Hackers

Meet the hackers: drie visies op IT security

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur […]

Lees meer

GDPR voor developers

GDPR voor developers: praktische tips

Er bestaat al gigantisch veel informatie over GDPR. Informatie voor CEO’s, CIO’s, marketing managers… maar GDPR voor developers? Amper. Daar willen we met deze blogpost verandering in brengen. Wat moet je als developer weten over GDPR? En welke praktische tips kunnen we je geven?

Lees meer