GDPR - AVG - Informatieveiligheid

Door de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) krijgen burgers meer zeggenschap en bescherming over hun gegevens. Er is één geheel van regels voor alle bedrijven die actief zijn in de EU. Dit is een goeie zaak voor iedereen die zijn persoonsgegevens bezorgd aan iemand anders. De GDPR gaat niet over boetes, maar over een bewustwording. Elk bedrijf, organisatie, vereniging, overheidsinstelling, ... die persoonsgegevens verwerkt moet er over waken dat de gegevens voldoende worden beschermd.

Alles start met de persoonsgegevens van een natuurlijk persoon. In het GDPR verhaal noemt men hem de betrokkene. De betrokkene heeft een aantal rechten die hij kan uitoefenen (inzagerecht, vergetelheid, verbetering, overdraagbaarheid,...).

De natuurlijke persoon, rechtspersoon of de overheidsinstantie die de persoonsgegevens verwerkt is de verwerkingsverantwoordelijke. Persoonsgegevens zijn alle gegevens over een geïdentificeerde of identificeerbare persoon. Bijvoorbeeld een naam, foto, IP-adres, ... De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. Hij verzamelt, beheert, raadpleegt, verspreidt, verwijdert... persoonsgegevens.  

De gegevens over een persoon kunnen we in twee categorieën opsplitsen: gewone en bijzondere gegevens. Bijzondere gegevens (ras, religie, politieke overtuiging,...) mag u niet verwerken tenzij u van de betrokkene daarvoor toestemming hebt gekregen of onder voorwaarden beschreven in de GDPR/AVG verordening.

Hieronder vindt u de vier pijlers om de GDPR/AVG verordening te implementeren in uw bedrijf, organisatie, vereniging,... 

1. Ontdekken

  • Waar en welke persoonsgegevens worden er opgeslagen in uw bedrijf of organisatie?
  • Categoriseer de persoonsgegevens.
  • Noteer hoe, waarom en hoelang de persoonsgegevens worden gebruikt. 

2. Beheren

  • Is er een functionaris voor gegevensbescherming benoemd?
  • Bestaat er een informatieveiligheid en privacy beleid.
  • Kunnen de betrokkenen hun rechten uitoefenen.

3. Beschermen

  • Zijn de (gevoelige) persoonsgegevens versleuteld en voldoende beschermd.
  • Is er een actieplan voor het opvangen van gegevenslekken.
  • Worden de technische en organisatorische beveiligingsmaatregelen op regelmatige basis geëvalueerd.

4. Rapporteren

  • Kan de naleving van de GDPR-verordening worden aangetoond (register, privacyverklaring, beleidsteksten, bewustwordingscampagnes, procedures...). 
  • Is er een rechtsverwerkingsgrond voor alle verwerkingsactiviteiten.
  • Werd er voor de verwerking een risicoanalyse uitgevoerd op de verwerkingsactiviteiten met een hoog risico.
GDPR Ontdekken-beheren-beschermen-rapporteren

Nuttige webadressen

Afkortingen

  • GDPR: General Data Protection Regulation
  • AVG: Algemene Verordening Gegevensbescherming
  • DPO: Data Protection Officer
  • FG: Functionaris voor gegevensbescherming
  • ISMS: Information Security Management System
  • SCADA: Supervisory Control and Data Acquisition (Supervisie & Data-acquisitie)
  • GEB: Gegevensbeschermingseffectbeoordeling
  • DPIA: Data Protection Impact Assessment

Cyber security

Video