Cookies op deze website

Deze website maakt gebruik van cookies om goed te functioneren. Als je wilt aanpassen welke cookies we mogen gebruiken, kan je jouw cookie-instellingen wijzigen. Meer informatie is beschikbaar in onze privacyverklaring.

Cookie instellingen

Strikt noodzakelijke cookies 24 cookies

Deze cookies zijn nodig om onze website correct te laten werken en worden daarom geplaatst zonder uw toestemming. We gebruiken ze bijvoorbeeld om onze website te beveiligen. Deze cookies laten u toe om te navigeren tussen de verschillende onderdelen van de website, om formulieren in te vullen. Indien u deze cookies blokkeert, is het mogelijk dat bepaalde onderdelen van de website niet optimaal werken. We verzamelen geen persoonsgegevens met deze cookies en geven de verzamelde informatie nooit door aan derde partijen. Naast onderstaande cookies, worden er ook cookies geplaatst door onze partner Vimeo wanneer u gebruik maakt van ons aanbod Training 24/7.
Naam Leverancier Omschrijving Bewaartijd

Voorkeuren cookies 2 cookies

Deze cookies vergemakkelijken het functioneren van onze websites en maken het aangenamer voor de bezoeker en ervoor zorgen dat u een meer gepersonaliseerde surfervaring krijgt. Het zijn bijvoorbeeld cookies die bijhouden of u reeds gevraagd werd om deel te nemen aan een enquête zodat we u niet telkens opnieuw dezelfde enquête voorleggen of een cookie die u een gepersonaliseerde opmaak aanbiedt naar aanleiding van een vorig bezoek.
Naam Leverancier Omschrijving Bewaartijd

Analytische cookies 5 cookies

We gebruiken analytische-cookies om informatie te verzamelen over het gebruik dat bezoekers maken van onze website met de bedoeling de inhoud van onze website te verbeteren, meer aan te passen aan de wensen van de bezoekers en om het gebruiksgemak van onze website te vergroten.
Naam Leverancier Omschrijving Bewaartijd

Marketing cookies 5 cookies

Deze cookies worden geplaatst voor marketingdoeleinden en worden gebruikt om je surfgedrag te volgen nadat je onze website hebt bezocht en/of om je gepersonaliseerde advertenties te tonen. Deze cookies kunnen door ons of door derden op onze website worden geplaatst. Je bepaalt zelf of je toestemming geeft voor het plaatsen van dergelijke marketing cookies.
Naam Leverancier Omschrijving Bewaartijd

Externe cookies 24 cookies

Sommige cookies worden met instemming van UBA geplaatst door derde partijen met het doel bepaalde producten en diensten onder uw aandacht te brengen of om u rechtstreeks toegang te geven tot social media. Voor de cookies die deze externe partijen plaatsen, de informatie die ze daarmee verzamelen en het doel waarvoor die informatie wordt gebruikt, verwijzen wij naar de privacy verklaringen van deze partijen op hun eigen websites. Deze verklaringen kunnen regelmatig wijzigen en UBA heeft daar geen enkele zeggenschap over.
Naam Leverancier Omschrijving Bewaartijd

UBA Data Protection Guide

Hoe helpt deze gids u concreet?

Deze gids is een essentieel instrument om effectief te werken, communiceren en adverteren en tegelijkertijd de gegevens van jouw klanten en consumenten te beschermen.

 De gids bestaat uit vijf delen:

  • Hoe organisee je jouw team?
  • Hoe verzamel je consumentengegevens op correcte wijze?
  • Hoe de opslag van consumentengegevens effectief organiseren?
  • Hoe gebruik je gericht consumentengegevens?
  • Hoe zorgt je voor meer transparantie en vertrouwen?

Deel 1. Hoe organiseer je jouw team?

In dit eerste hoofdstuk leer je hoe je het fundament legt van jouw beleid rond consumentendata alsook het creëren van duidelijkheid over taken, verantwoordelijkheden, interne communicatie, policies, processen en audits.

Klik hier om het eerste deel van de gids in PDF-formaat te downloaden.

De DPO: de spilfiguur voor de organisatie

Een Data Protection Officer (hierna DPO) organiseert het volledige proces van de gegevensbescherming. De GDPR (General Data Protection Regulation) ofwel AVG (Algemene Verordening Gegevensbescherming) bepaalt voor welke organisaties een DPO verplicht is. Is het in jouw geval niet verplicht dan is een centraal aanspreekpunt toch raadzaam. Zo stimuleer je intern duidelijkheid en efficiëntie. Uiteraard moet jouw formele of informele DPO kunnen terugvallen op experten bij moeilijkere of meer technische vragen. 

Belangrijk: de DPO draagt niet de eindverantwoordelijkheid voor het naleven van de Data Protection-regels: die ligt bij het management. Uiteraard hoeft de directie niet bij elke vraag rond gegevensbescherming betrokken te worden. Wél is het belangrijk dat er heldere (werk)afspraken zijn voor beslissingsbevoegdheid en taakomschrijving. Dat schept voor iedereen duidelijkheid: elke medewerker weet aan wie je je vragen moet stellen. 

Bij de keuze van een DPO zijn deze drie criteria belangrijk:

  • Onafhankelijkheid

Het is belangrijk dat de DPO geen directiefunctie heeft. Daarmee vermindert u het risico op belangenvermenging. De GBA (Gegevensbeschermingsautoriteit, de toezichthoudende overheidsinstelling) let hier streng op en kan zelfs optreden.

  • Budget

De DPO moet de tijd en het geld krijgen om grondig te werk te gaan. Bij externe DPO’s wringt hier soms het schoentje. Zij werken vaak in een context waarin er minder budget wordt vrijgemaakt. Om kosten te besparen, is er immers geen ruimte voor een interne DPO. 

  • Bereikbaarheid

Een DPO moet ook alle aspecten van de verwerking van persoonsgegevens kennen. Dat betekent: hij of zij moet toegang hebben tot alle relevante informatie. Ook moet er een goede communicatie(structuur) zijn met de betrokken medewerkers. Een DPO is dus bij voorkeur iemand die het reilen en zeilen van een organisatie kent.

De DPO is ook de contactpersoon voor de GBA dus meld uw DPO daar zeker aan. Net zoals het voor interne doelgroepen duidelijk moet zijn wie het aanspreekpunt is. Leg hun uit waarom er een DPO is en wat hij of zij precies doet.  

Tot slot: een vraag of klacht van een consument is een signaal dat iets niet duidelijk of transparant is. Maak de drempel om te reageren zo laag mogelijk. Zorg dat de DPO hiervoor de ruimte en de middelen krijgt. Voor elk merk is een vraag of klacht over persoonsgegevens dé kans om te communiceren en de relatie te verbeteren.

Expertadvies. Een DPO, ook als het niet verplicht is 

Data is een complexe materie en dus is er steeds het risico dat er (juridische) fouten gebeuren. Daarom is een specialist een meerwaarde. Ook als deze niet officieel als DPO is aangesteld. Een externe DPO kan de oplossing zijn. Zeker als die vertrouwd is met uw sector. Een wisselend aanspreekpunt is niet raadzaam. Kennis van uw bedrijf en data-knowhow helpen het proces sneller vooruit, zeker in een crisissituatie.

DPO

Data protection op de radar zetten én houden

In veel organisaties zijn gegevensbescherming, privacy en data vaak een ver-van-mijn-bed-show. Zeker als er geen nieuwe ontwikkelingen zijn, verdwijnt de aandacht voor de wetgeving als sneeuw voor de zon. 

Daarom is het zo belangrijk om het onderwerp regelmatig op de agenda te zetten. Niet met droge theorie maar met interactieve trainingen, oefeningen rond beveiliging van data, het testen van processen zoals “Wat te doen bij een datalek?” of “Wat te doen als iemand zijn persoonsgegevens wil raadplegen?”. Dat zijn herkenbare situaties waarmee veel organisaties en medewerkers al te maken kregen. Processen testen is dus een nuttige oefening. Je kunt bijvoorbeeld een fictieve vraag van een betrokkene lanceren, een nep phishing mail sturen naar iedereen of een datalek aankondigen om het proces te testen.

Een andere manier om data protection te laten leven, is door documenten voor security policies, processen en procesflows, beleidsbeslissingen, …. op een centrale plaats te verzamelen. Als ze op een intranet zichtbaar en toegankelijk zijn, zullen de medewerkers ze ook sneller raadplegen. 

Experttip. Organiseer fast track sessies rond Data Protection. 

Iedereen in jouw organisatie moet basiskennis over gegevensbescherming hebben. Als je die kennis relevant maakt voor een specifieke functie, zal de interesse des te groter zijn. Een digital marketeer zal andere kennis nodig hebben dan een manager die beslissingen moet nemen over de verwerking van persoonsgegevens. Zorg ook voor regelmatige updates want herhaling is de kracht van communicatie. En test of de informatie bijblijft zodat je weet wanneer je de sessies moet bijsturen. 

Waarmee rekening houden in data protection processen?

Gegevensbescherming is verbonden aan regels dus is het efficiënt om jouw interne processen regelmatig te toetsen aan de regelgeving. Die processen legt je vast 

  • voor technische en organisatorische maatregelen bij het selecteren van een verwerker
  • voor een getekende verwerkersovereenkomst voor de verwerking begint 
  • om de rechten van betrokkenen te garanderen
  • in het geval van verschillende soorten data-lekken
  • om het register van verwerkingen up-to-date te houden
  • voor auditprocessen

Interne processen en audits

Een audit brengt aan het licht of jouw processen doen wat ze moeten doen. En als er tekortkomingen zijn, kunt je die gericht verhelpen. 

  • Interne audits

Uw DPO of een externe partij gaat na of de processen de regels van de GDPR volgen. Maar het is ook nuttig om het aspect veiligheid van persoonsgegevens en andere data te testen. Daarvoor kun je externe specialisten inschakelen, bijvoorbeeld voor een zogeheten ‘pen-test’.  Tijdens deze test lichten zij jouw systemen uitvoerig door. Je kunt ook een beroep doen op ethische hackers om systematisch jouw technische infrastructuur te screenen. Inclusief mobiele apps en SaaS-tool. 

  • Audits van verwerkers

Gebruikt jouw bedrijf vaak of grote volumes persoonsgegevens van verwerkers? Dan is het raadzaam om hen te laten auditen. Zo weet je meteen of de technische beveiliging nog adequaat is. De regels voor gegevensbescherming vereisen dat die beveiliging rekening moet houden met de stand van de techniek. Dat betekent dat de beveiliging mee moet evolueren, ook als in de verwerkersovereenkomst expliciet is benoemd waaruit de minimale beveiliging moet bestaan. 

Het is duidelijk dat dergelijke audits specialistenwerk zijn. Laat ze daarom uitvoeren door jouw DPO of door een externe partij. 

Deel 2: Hoe verzamel je consumentengegevens op correcte wijze?

Deel 2 tot en met deel 5 van de UBA Data Protection Guide zijn enkel beschikbaar voor UBA-leden. Is jouw bedrijf lid van UBA? Log je dan hier in.

Meer info?

Algemene verordening gegevensbescherming

Regels voor bedrijven en organisaties