De General Data Protection Regulation (GDPR) of ook wel genoemd de Algemene Verordening Gegevensbescherming (AVG).

De General Data Protection Regulation (GDPR) of ook wel genoemd de Algemene Verordening Gegevensbescherming (AVG) heeft verstrekkende gevolgen. Maar wat betekent deze Europese wetgeving voor jouw verhouding tot Kreanet ?

Algemene principes van GDPR / AVG.

Je kon er niet naast zien, de laatste maanden: haast overal kon je lezen dat er op 25 mei 2018 een belangrijke Europese wetgeving van kracht wordt, Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Ondertussen ken je wellicht ook de algemene regels, onder andere:

  • Voor de hele EU gelden dezelfde regels; worden data van EU-burgers verwerkt door bedrijven buiten de EU, dan is GDPR ook van toepassing
  • Het begrip “persoonlijke data” wordt uitgebreid met datatypes zoals IP-adressen en gevoelige data zoals gezondheidsgegevens, informatie over culturele achtergrond.
  • Het verzamelen van data wordt aan strenge regels onderworpen, zodat je niet zomaar gegevenslijsten kan kopen of aanleggen: de gebruiker moet expliciet toestemming geven, mag zijn gegevens inzien en eisen dat zij verwijderd worden.
  • Waar in het verleden overtredingen meestal blauw-blauw gelaten werden, zijn er nu hoge boetes. Wanneer de verzamelde data niet correct worden beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet of tot 20 miljoen euro, afhankelijk van wat het hoogst is.

Nieuwe begrippen: AVG / GDPR Data Verwerker, Data Verwerkingsverantwoordelijke, Data-subject.

Uitleggen hoe deze nieuwe wetgeving de relatie tussen Kreanet en jou beïnvloedt, is niet in 1-2-3 gezegd. Zowel Kreanet zelf als jouw bedrijf (als klant van Kreanet) vervullen immers beurtelings verschillende rollen, vastgelegd in deze wet.

  • Data Verwerkingsverantwoordelijke = de eigenaar van de data, degene die de gegevens verzamelt. Als klant van Kreanet bijvoorbeeld verzamel jij naam, adres, betaalgegevens van jouw gebruikers, en ben jij Verwerkingsverantwoordelijke.
  • Data Verwerker = de entiteit waar de data opgeslagen worden, of die ze verwerkt, op een wijze die bepaald wordt door de Verwerkingsverantwoordelijke. Als klant van Kreanet vraag jij ons om een backup te maken van de data van jouw gebruikers, en in dit geval is Kreanet de Verwerker. Ook indien de Verwerker aan een derde de verwerking toevertrouwt (de sub-verwerker), blijft de Verwerker verantwoordelijk voor de correcte naleving van de GDPR-wetgeving
  • Data subjects = de personen van wie persoonlijke informatie verwerkt wordt.

De taak van de Kreanet-klant als AVG / GDPR Data-Verwerkingsverantwoordelijke.

Je eerste taak is: nagaan of het verwerken van de gegevens wel toegestaan is. Dat wil zeggen dat het verzamelen en verwerken geschiedt omdat

  • het kadert in de verplichtingen van een overeenkomst;
  • je de expliciete toestemming hebt van het data subject (geen opt-out!);
  • je zo voldoet aan de wettelijke verplichting;
  • het relevant is voor de persoonlijke veiligheid of gezondheid van de data-subject;
  • het in het algemeen belang is of in jouw legitiem belang (zoals het kunnen identificeren van personen die verantwoordelijk zijn voor hacking, fraude enz.)

Je tweede taak is ervoor te zorgen dat de data voldoende beschermd worden. Wil je beantwoorden aan de ISO27001 certificering, dan ben je verplicht om te werken met een Information Security Board en/of een Security Officer, om zo een Risk Assessment op te stellen.

En tot slot moet je een inbreuk onmiddellijk melden. Hierbij geldt het volgende:

  • Een inbreuk is elke schending van de beveiliging (een lek, een hack… ) waardoor data vernietigd, verloren, gewijzigd worden, ongeoorloofd ontsloten worden of ingezien door onbevoegden.
  • Je moet de inbreuk melden
  • aan de data subjects (jouw klanten)
  • aan de autoriteiten:
    Voor België: de website van Privacy Commissie
    voor Nederland: de online notificatie van de Autoriteit Persoonsgegevens
  • Deze melding moet je binnen de 72u doen. De GDRP / AVG houdt er rekening mee dat je wellicht binnen die periode nog niet alle informatie over het incident hebt, en vraagt dat je eerste melding wel reeds volgende informatie bevat:
  • het type inbreuk
  • het aantal data subjects die mogelijk een risico lopen
  • het risico dat de inbreuk met zich meebrengt voor de betrokken data subjects
  • de maatregelen die je al genomen hebt op het moment van je melding
  • de maatregelen die je verder nog gaat nemen

De taak van Kreanet als AVG / GDPR Data Verwerker.

Kreanet is de Verwerker van de data die jij als Verwerkingsverantwoordelijke verzameld hebt. Daarom behoort het tot onze taak om o.a.:

  • logs bij te houden van data-verwerkingen die wij doen van jouw data, zoals back-ups maken
  • een inbreuk op jouw datasets, die zich op een door ons beheerd platform bevinden, aan jou (de Data Verwerkingsverantwoordelijke) te melden en jou bij te staan bij het opstellen van de melding aan de Data Subjects (hoever deze hulp gaat, kan bepaald worden in het servicepakket dat je afneemt)
  • na te gaan of Sub-Verwerkers, derde partijen die wij inhuren voor dataverwerking, conform GDPR / AVG werken

De Kreanet klant als AVG / GDPR Data Subjects.

Tot slot is er ook nog het feit dat Kreanet persoonlijke informatie beheert van jou, de klant – van de (technische) contactpersonen binnen jouw bedrijf bijvoorbeeld. In die rol heb jij als Data Subject onderstaande rechten, en is het onze plicht als Data Verwerkingsverantwoordelijke en Verwerker om hierop als hieronder beschreven te reageren:

  • Je hebt het recht te eisen dat wij je gegevens wissen, vb. wanneer het doel waarvoor de data oorspronkelijk verzameld werden niet meer bestaat. Wij dienen niet alleen de gegevens bij ons te wissen, maar ook aan mogelijke onderaannemers te vragen dat zij ook bij hen de data wissen.
  • Je hebt het recht om informatie over deze data te vragen, zoals hoe lang je data bewaard worden, waarom wij die verzamelen, en welke personen/organisaties toegang hebben tot jouw informatie.
  • Je hebt het recht om, met redelijke intervallen, je data in te zien en eventueel te laten verbeteren, en je hebt het recht je gegevens naar een andere Verwerker te verhuizen. Afhankelijk van de omstandigheden zal Kreanet jou beveiligde toegang geven tot jouw gegevens of een kopie ervan overhandigen in een industriestandaard zoals een csv-bestand.

Denk eraan: bij een data-inbreuk moet je volgens AVG / GDPR binnen de 72u na het ontdekken ervan aangifte doen. De mate waarin Kreanet je kan bijstaan, wordt bepaald door de technologische en organisatorische maatregelen vermeld in je servicepakket. Spreek erover met je accountmanager!

Nuttige links omtrent AVG / GDPR zijn ondermeer:

Juridische disclaimer.

De informatie met betrekking tot GDPR wordt u vrijblijvend aangeboden door Kreanet als hulpmiddel om u voor te bereiden op deze nieuwe wetgeving. Kreanet biedt echter geen garanties met betrekking tot de volledigheid en de accuraatheid van de meegedeelde informatie. Kreanet verleent ook geen enkele garantie dat de acties die u onderneemt op basis van deze informatie ertoe strekken dat u (volledig) in regel bent met de wettelijke bepalingen inzake GDPR. De meegedeelde informatie mag onder geen enkel beding aangewend worden ter vervanging van het eigen onderzoek en analyse naar de verplichtingen inzake GDPR.