De Algemene Verordening Gegevensbescherming (General Data Protection Regulation – hierna steeds “GDPR”) vervangt de huidige privacywetgeving (Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens).
Read more
Bij een controle van de GDPR of AVG moet u zich houden aan de documentatieplicht. Als er bij een controle van de GDPR kan aangetoond worden dat een organisatie zich houdt aan de beginselen voor een correcte gegevensverwerking zoals opgenomen in art. 5 van de privacywet en daardoor ook een optimale beveiliging van de te verwerken persoonsgegevens kan garanderen, dan zijn alvast de eerste stappen ondernomen.
Wanneer een DPO aanstellen?
Om je organisatie in regel te krijgen met de GDPR, moet je je eerst afvragen of je verplicht bent om een DPO of Data Protection Officer aan te duiden of als het voldoende is om een verantwoordelijke binnen de organisatie aan te duiden die de taken van gegevensverwerking van persoonlijke data voor zijn of haar rekening neemt.
Het aanduiden van een DPO of een Functionaris voor Gegevensbescherming kan een meerwaarde zijn, zelfs al bent u niet verplicht om er één aan te wijzen.
Mocht er iemand binnen de organisatie aangewezen worden die de taken van gegevensbescherming op zich neemt, vermijd dat deze persoon andere taken uitvoert die kunnen leiden tot een belangenconflict.
Eéns er een DPO werd aangeduid, moet je deze melden bij de gegevensbeschermingsautoriteit via het formulier dat je kan downloaden. https://www.gegevensbeschermingsautoriteit.be/professioneel
Documenten bij een GDPR controle
De GDPR heeft een inspectiedienst die belast is met het onderzoek van klachten en over ernstige aanwijzingen van inbreuken op de GDPR-wetgeving. Deze inspectiedienst wordt geleid door de inspecteur-generaal en wordt ondersteund door een secretariaat.
Welke documenten zijn er nodig bij een GDPR-controle?
Bij een GDPR-controle moet u kunnen aantonen welke persoonsgegevens er verwerkt worden, op welke manier dat deze worden bewaard en hoe de persoonsgegevens vernietigd worden.
Deze zaken moeten opgenomen worden in het verwerkingsregister
Eens het verwerkingsregister werd opgemaakt, moet er een onderscheid gemaakt worden van wie nu de verwerkingsverantwoordelijke en de verwerker is bij de verwerking van de persoonsgegevens. Het kan ook zijn dat er bij bepaalde verwerkingen 2 gezamenlijk verantwoordelijk zijn.
Als er een duidelijk zicht is op de verantwoordelijkheden, dan kunnen de verwerkersovereenkomsten worden opgesteld. Indien uw organisatie gemachtigd werd om gegevens van identiteitskaarten te verwerken, dient u dit te informeren aan de betrokkenen zoals klanten, leveranciers en/of personeel.
Indien er een camera werd geïnstalleerd dient deze ook aangegeven te worden. Deze wet is van toepassing op de bewakingscamera’s, hetgeen betekent dat ze enkel betrekking heeft op de camera’s die worden geïnstalleerd en gebruikt voor het toezicht en de bewaking van plaatsen om misdrijven te voorkomen of vast te stellen.
Bij de controle van de GDPR moet u kunnen aantonen dat er een informatieveiligheidsbeleid wordt gevolgd binnen de organisatie. Vandaar dat een audit volgens de ISO27001– normen wordt aangeraden.
Om het GDPR-dossier te vervolledigen moet men de procedure volgen die wordt voorgeschreven bij een datalek.
GDPR controle op website?
De controle op de verwerking van persoonsgegevens kan gemakkelijk uitgevoerd worden op de website van de organisatie. Niet dat de inspectiedienst alles kan afleiden uit de privacyverklaring, maar er kan wel gecontroleerd worden of de website werd gebouwd volgens privacy-by-design.
Zorg ervoor dat er eerst nagedacht wordt over de optimale beveiliging van de te verwerken persoonsgegevens alvorens er een verwerking wordt opgestart.
Onderneming laten controleren op GDPR door een DPO?
Neem vrijblijvend contact met ons op of doe de gratis test hier!
