Hoe maak ik mijn onderneming GDPR-approved in 5 stappen? Stap 3...

Naar aanleiding van de inwerkingtreding van de nieuwe Europese Algemene Verordening Gegevensbescherming (General Data Protection Regulation of hierna ook wel “GDPR” genoemd) op 25 mei 2018 beloofden wij u stap voor stap te helpen bij het GDPR-approved maken van uw organisatie.

In onze eerste blog van 12 april 2018 hadden wij het reeds uitgebreid over de eerste stap, namelijk de bewustwording binnen uw organisatie.

In onze tweede blog van 19 april 2018 bespraken we vervolgens het schematiseren van de verzamelde gegevens en het overlopen van een checklist om na te gaan in hoeverre uw organisatie op vandaag al GDPR-conform is en waar eventueel nog aangepast moet worden om uw onderneming volledig GDPR-approved te maken.

Vandaag gaan we het daarom hebben over de derde stap: de aanvullende verplichtingen.

A. Het bijhouden en actualiseren van een dataverwerkingsregister

De GDPR bepaalt dat elke verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker een register dient bij te houden van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:

• de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming.
• de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd.
• indien van toepassing, mededelingen van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie. In bepaalde gevallen moeten tevens de documenten inzake de passende waarborgen gevoegd worden gelet op het feit dat dergelijke landen vaak niet dezelfde bescherming bieden.
• indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. Deze maatregelen dienen onder meer het volgende te omvatten:

1. pseudonimisering en versleuteling van persoonsgegevens.
2. vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
3. vermogen om bij een fysiek of technisch incident de beschikbaarheid van én de toegang tot de persoonsgegevens tijdig te herstellen.
4. procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt eveneens een register van de verwerkingsactiviteiten bij die onder hun verantwoordelijkheid plaatsvinden. Dit register dient minstens de volgende gegevens te bevatten:

• de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming.
• verwerkingsdoeleinden: waarvoor worden de gegevens verwerkt?
• beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens: Gaat het om personeelsleden, medewerkers, leveranciers,…? En als het om bv. personeelsleden gaat, gaat het dan om medische gegevens, financiële gegevens, gerechtelijke gegevens, gegevens rond de burgerlijke staat van betrokkene of ….?
• categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties.
• indien van toepassing, mededelingen van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen.
• indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist. Dit dient zowel als controlebestand bij eventuele schendingen achteraf alsook als opvolgingsmiddel voor de verwerker.
• indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. Deze maatregelen dienen onder meer het volgende te omvatten:

1. pseudonimisering en versleuteling van persoonsgegevens
2. vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen
3. vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen
4. procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking

De GDPR voorziet evenwel een uitzondering op deze verplichting. Indien de organisatie meer bepaald minder dan 250 personen in dienst heeft, hoeft deze in theorie niet verplicht een dataverwerkingsregister aan te leggen.

Helaas is echter ook een uitzondering voorzien op de uitzondering in die zin dat het dataverwerkingsregister wel verplicht is wanneer de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking “niet incidenteel” is (lees: niet bij gelegenheid of toeval plaatsvindt) of de verwerking gevoelige informatie (cf. gerechtelijke gegevens, politieke overtuigingen, seksuele voorkeur, gezondheidsgegevens,…) betreft.

De facto volgt uit de uitzonderingsregel dus eigenlijk dat quasi elke organisatie verplicht is zo’n register bij te houden (en te actualiseren!) en dit ongeacht het aantal werknemers in dienst.

B. Het aanstellen van een Data Protection Officer (DPO)

De GDPR voorziet uitdrukkelijk dat het aanstellen van een data protection officer, of ook wel DPO genoemd, slechts verplicht is in drie gevallen, namelijk wanneer:

• de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken.
• een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
• de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens (bv. gegevens rond ras of etnische afkomst, politieke opvattingen, lidmaatschap van een vakbond, gezondheid, seksueel gedrag, strafrechtelijke veroordelingen edm.).

In de overige gevallen hoeft u deze kost als organisatie niet noodzakelijk te maken. Dan volstaat het bijhouden van een dataverwerkingsregister en het opmaken van een privacyverklaring.

Nochtans kan het voor sommige organisaties wel interessant zijn om een DPO aan te stellen. Zeker als u als verantwoordelijke binnen uw organisatie zelf niet over de nodige tijd beschikt om uw verplichtingen in het kader van de GDPR grondig na te leven.

De DPO doet immers dienst als de expert ter zake die uw organisatie dient bij te staan in het kader van het toezicht op de interne naleving van de GDPR.

De DPO zal dus om te beginnen alle medewerkers binnen uw organisatie moeten informeren omtrent hun rechten en verplichtingen zodoende de bewustwording te vergroten en te concretiseren waar nodig.

Eén en ander werd reeds oppervlakkig toegelicht aan de medewerkers binnen uw organisatie in het kader van de eerste stap (bewustwording), maar nu is de tijd dus eigenlijk gekomen om de bewustwording concreter door te voeren. Organisaties die een DPO hebben aangesteld kunnen wat dat betreft dus eigenlijk min of meer op hun lauweren rusten terwijl de DPO één en ander in orde brengt.

Daarnaast volgt de DPO alle verwerkingsactiviteiten op zodoende hun conformiteit met de GDPR na te gaan, fungeert de DPO als tussenpersoon naar de privacy commissie toe én brengt de DPO jaarlijks verslag uit van de gedane werkzaamheden aan de hoogste leidinggevende binnen de organisatie.

Bovendien zijn dit maar enkele van zijn taken nu de DPO ook nog advies dient te geven over eventuele nieuwe software technieken, het bijwerken van het dataverwerkingsregister edm.

De DPO is overigens ook dé contactpersoon bij uitstek die de communicatie met de bevoegde overheidsinstantie op gang dient te brengen in geval van een data lek.

Daarbij bepaalt de GDPR ook niet expliciet aan welke voorwaarden iemand moet voldoen om als DPO gekwalificeerd te worden. De GDPR beperkt zich eigenlijk tot de volgende –veeleer vage- omschrijving dat de DPO wordt aangewezen “op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de hiervoor aangehaalde taken te vervullen”.

In principe hoeft men dus niet over een specifiek diploma of certificaat te beschikken om DPO te worden.

Gelukkig voorziet de DGPR aanvullend wel in enkele expliciete bepalingen om één en ander te concretiseren. Dit onder andere door enkele expertise-vereisten en onafhankelijkheidsvereisten op te leggen.

Wij hopen alvast dat u na het lezen van deze blog voldoende kennis heeft opgedaan om ook deze derde stap tot een goed einde te brengen.