UBA Data Protection Guide
Hoe helpt deze gids u concreet?
Deze gids is een essentieel instrument om effectief te werken, communiceren en adverteren en tegelijkertijd de gegevens van jouw klanten en consumenten te beschermen.
De gids bestaat uit vijf delen:
- Hoe organisee je jouw team?
- Hoe verzamel je consumentengegevens op correcte wijze?
- Hoe de opslag van consumentengegevens effectief organiseren?
- Hoe gebruik je gericht consumentengegevens?
- Hoe zorgt je voor meer transparantie en vertrouwen?
Deel 1. Hoe organiseer je jouw team?
In dit eerste hoofdstuk leer je hoe je het fundament legt van jouw beleid rond consumentendata alsook het creëren van duidelijkheid over taken, verantwoordelijkheden, interne communicatie, policies, processen en audits.
Klik hier om het eerste deel van de gids in PDF-formaat te downloaden.
De DPO: de spilfiguur voor de organisatie
Een Data Protection Officer (hierna DPO) organiseert het volledige proces van de gegevensbescherming. De GDPR (General Data Protection Regulation) ofwel AVG (Algemene Verordening Gegevensbescherming) bepaalt voor welke organisaties een DPO verplicht is. Is het in jouw geval niet verplicht dan is een centraal aanspreekpunt toch raadzaam. Zo stimuleer je intern duidelijkheid en efficiëntie. Uiteraard moet jouw formele of informele DPO kunnen terugvallen op experten bij moeilijkere of meer technische vragen.
Belangrijk: de DPO draagt niet de eindverantwoordelijkheid voor het naleven van de Data Protection-regels: die ligt bij het management. Uiteraard hoeft de directie niet bij elke vraag rond gegevensbescherming betrokken te worden. Wél is het belangrijk dat er heldere (werk)afspraken zijn voor beslissingsbevoegdheid en taakomschrijving. Dat schept voor iedereen duidelijkheid: elke medewerker weet aan wie je je vragen moet stellen. |
Bij de keuze van een DPO zijn deze drie criteria belangrijk:
- Onafhankelijkheid
Het is belangrijk dat de DPO geen directiefunctie heeft. Daarmee vermindert u het risico op belangenvermenging. De GBA (Gegevensbeschermingsautoriteit, de toezichthoudende overheidsinstelling) let hier streng op en kan zelfs optreden.
- Budget
De DPO moet de tijd en het geld krijgen om grondig te werk te gaan. Bij externe DPO’s wringt hier soms het schoentje. Zij werken vaak in een context waarin er minder budget wordt vrijgemaakt. Om kosten te besparen, is er immers geen ruimte voor een interne DPO.
- Bereikbaarheid
Een DPO moet ook alle aspecten van de verwerking van persoonsgegevens kennen. Dat betekent: hij of zij moet toegang hebben tot alle relevante informatie. Ook moet er een goede communicatie(structuur) zijn met de betrokken medewerkers. Een DPO is dus bij voorkeur iemand die het reilen en zeilen van een organisatie kent.
De DPO is ook de contactpersoon voor de GBA dus meld uw DPO daar zeker aan. Net zoals het voor interne doelgroepen duidelijk moet zijn wie het aanspreekpunt is. Leg hun uit waarom er een DPO is en wat hij of zij precies doet.
Tot slot: een vraag of klacht van een consument is een signaal dat iets niet duidelijk of transparant is. Maak de drempel om te reageren zo laag mogelijk. Zorg dat de DPO hiervoor de ruimte en de middelen krijgt. Voor elk merk is een vraag of klacht over persoonsgegevens dé kans om te communiceren en de relatie te verbeteren.
Expertadvies. Een DPO, ook als het niet verplicht is Data is een complexe materie en dus is er steeds het risico dat er (juridische) fouten gebeuren. Daarom is een specialist een meerwaarde. Ook als deze niet officieel als DPO is aangesteld. Een externe DPO kan de oplossing zijn. Zeker als die vertrouwd is met uw sector. Een wisselend aanspreekpunt is niet raadzaam. Kennis van uw bedrijf en data-knowhow helpen het proces sneller vooruit, zeker in een crisissituatie. |
Data protection op de radar zetten én houden
In veel organisaties zijn gegevensbescherming, privacy en data vaak een ver-van-mijn-bed-show. Zeker als er geen nieuwe ontwikkelingen zijn, verdwijnt de aandacht voor de wetgeving als sneeuw voor de zon.
Daarom is het zo belangrijk om het onderwerp regelmatig op de agenda te zetten. Niet met droge theorie maar met interactieve trainingen, oefeningen rond beveiliging van data, het testen van processen zoals “Wat te doen bij een datalek?” of “Wat te doen als iemand zijn persoonsgegevens wil raadplegen?”. Dat zijn herkenbare situaties waarmee veel organisaties en medewerkers al te maken kregen. Processen testen is dus een nuttige oefening. Je kunt bijvoorbeeld een fictieve vraag van een betrokkene lanceren, een nep phishing mail sturen naar iedereen of een datalek aankondigen om het proces te testen.
Een andere manier om data protection te laten leven, is door documenten voor security policies, processen en procesflows, beleidsbeslissingen, …. op een centrale plaats te verzamelen. Als ze op een intranet zichtbaar en toegankelijk zijn, zullen de medewerkers ze ook sneller raadplegen.
Experttip. Organiseer fast track sessies rond Data Protection. Iedereen in jouw organisatie moet basiskennis over gegevensbescherming hebben. Als je die kennis relevant maakt voor een specifieke functie, zal de interesse des te groter zijn. Een digital marketeer zal andere kennis nodig hebben dan een manager die beslissingen moet nemen over de verwerking van persoonsgegevens. Zorg ook voor regelmatige updates want herhaling is de kracht van communicatie. En test of de informatie bijblijft zodat je weet wanneer je de sessies moet bijsturen. |
Waarmee rekening houden in data protection processen?
Gegevensbescherming is verbonden aan regels dus is het efficiënt om jouw interne processen regelmatig te toetsen aan de regelgeving. Die processen legt je vast
- voor technische en organisatorische maatregelen bij het selecteren van een verwerker
- voor een getekende verwerkersovereenkomst voor de verwerking begint
- om de rechten van betrokkenen te garanderen
- in het geval van verschillende soorten data-lekken
- om het register van verwerkingen up-to-date te houden
- voor auditprocessen
Interne processen en audits
Een audit brengt aan het licht of jouw processen doen wat ze moeten doen. En als er tekortkomingen zijn, kunt je die gericht verhelpen.
- Interne audits
Uw DPO of een externe partij gaat na of de processen de regels van de GDPR volgen. Maar het is ook nuttig om het aspect veiligheid van persoonsgegevens en andere data te testen. Daarvoor kun je externe specialisten inschakelen, bijvoorbeeld voor een zogeheten ‘pen-test’. Tijdens deze test lichten zij jouw systemen uitvoerig door. Je kunt ook een beroep doen op ethische hackers om systematisch jouw technische infrastructuur te screenen. Inclusief mobiele apps en SaaS-tool.
- Audits van verwerkers
Gebruikt jouw bedrijf vaak of grote volumes persoonsgegevens van verwerkers? Dan is het raadzaam om hen te laten auditen. Zo weet je meteen of de technische beveiliging nog adequaat is. De regels voor gegevensbescherming vereisen dat die beveiliging rekening moet houden met de stand van de techniek. Dat betekent dat de beveiliging mee moet evolueren, ook als in de verwerkersovereenkomst expliciet is benoemd waaruit de minimale beveiliging moet bestaan.
Het is duidelijk dat dergelijke audits specialistenwerk zijn. Laat ze daarom uitvoeren door jouw DPO of door een externe partij.
Deel 2: Hoe verzamel je consumentengegevens op correcte wijze?
Deel 2 tot en met deel 5 van de UBA Data Protection Guide zijn enkel beschikbaar voor UBA-leden. Is jouw bedrijf lid van UBA? Log je dan hier in.