GDPR

Wat je moet weten als klant bij BlueCie over GDPR?

Op 25 mei 2018 wordt de nieuwe Europese wetgeving omtrent Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) van kracht. We lichten de belangrijkste regels nog even toe:

  • Het verzamelen van data wordt strenger geregeld. Zo wordt ondermeer de regelgeving rond expliciete toestemming veel strenger. Iedere persoon mag ook altijd vragen om zijn gegevens in te zien of te laten verwijderen.
  • Het begrip “persoonsgegevens” wordt uitgebreid met een aantal extra datatypes. Persoonsgegevens worden omschreven als alle data waarmee een persoon te identificeren valt. Vandaar dus dat bijvoorbeeld een nummerplaat, consumptiegedrag of een IP-adres vanaf nu ook tot “persoonsgegevens” behoren.
  • De wetgeving is gelijk voor alle bedrijven en organisaties binnen de EU, ongeacht hun grootte of locatie. Wordt er data van EU-burgers verwerkt door bedrijven buiten de EU, dan is GDPR ook voor hen van toepassing.
  • De wet voorziet hoge boetes wanneer de verzamelde data niet correct worden beheerd, een datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt. Boetes kunnen oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan de boete stijgen tot 4 procent van de omzet of tot 20 miljoen euro, afhankelijk van wat het hoogst is.

De verschillende rollen binnen GDPR

De GDPR regels zijn niet eenvoudig. Jouw bedrijf of organisatie kan verschillende rollen vervullen.

  • Data subjects: de personen van wie persoonlijke informatie verwerkt wordt, ook wel betrokkenen genoemd.
  • Dataverwerkingsverantwoordelijke: de eigenaar van de data, degene die de gegevens verzamelt. Wanneer jij naam, adres, betaalgegevens, IP-adres,… van jouw klanten verzamelt ben jij de dataverwerkingsverantwoordelijke.
  • Dataverwerker: dit is degene die de data opslaat of ze verwerkt, zoals bepaald door de dataverwerkingsverantwoordelijke. Voorbeeld: als klant van BlueCie vraag jij BlueCie om een backup te maken van de mailboxen van jouw gebruikers. In dat geval is BlueCie de Dataverwerker. Ook indien de Dataverwerker de verwerking uitbesteed aan een derde (of sub-verwerker), blijft de Dataverwerker verantwoordelijk voor de correcte naleving van de GDPR-wetgeving.

Wat is jouw taak als Dataverwerkingsverantwoordelijke?

Als bedrijf of organisatie moet je uiteraard zorgen dat je zelf volledig in orde bent met de GDPR-regelgeving. Als klant van BlueCie is jouw bedrijf of organisatie immers dataverwerkingsverantwoordelijke met als belangrijkste taak het nagaan of het verwerkern van de gegevens wel toegestaan is, zijnde dat deze activiteiten geschieden omdat:

  • ze kaderen in de verplichtingen van een overeenkomst;
  • je de expliciete toestemming hebt van het data subject;
  • je zo voldoet aan de wettelijke verplichting;
  • het relevant is voor de persoonlijke veiligheid of gezondheid van de data-subject;
  • het in het algemeen belang is of in jouw legitiem belang.

Verder moet je ervoor zorgen dat de data voldoende beschermd zijn en dat een inbreuk binnen de 72 uur gemeld wordt. Een inbreuk is elke schending van de beveiliging (een lek, een hack… ) waardoor data vernietigd, verloren, gewijzigd worden, ongeoorloofd ontsloten worden of ingezien door onbevoegden.

De inbreuk moet gemeld worden aan:

en moet volgende informatie bevatten:

  • het type inbreuk;
  • het aantal data subjects die mogelijk een risico lopen;
  • het risico dat de inbreuk met zich meebrengt voor de betrokken data subjects
  • de maatregelen die je al genomen hebt op het moment van je melding;
  • de maatregelen die je verder nog gaat nemen.

Wat zijn jouw verplichtingen als klant van BlueCie?

Als klant van BlueCie moet jij ons laten weten welk soort data je bij ons plaatst (niet de inhoud, enkel het soort data) en aangeven in een dataregister hoe wij die verwerken (bv backups, hosting,…).

Het dataregister is een overzicht van het soort persoonsgegevens dat je verwerkt, waar ze vandaan komen en met wie ze gedeeld worden. Dat register moet te allen tijde een accuraat overzicht geven. Als er ooit een datalek is, dient dat register namelijk als bewijs dat de regels wel degelijk gevolgd werden.

Daarnaast zullen wij aan ons bestaande contract ook de regelgeving rond GDPR nog toevoegen. Met dit nieuwe document zal alles dan ook contractueel vastgelegd zijn.

Wat zijn de verplichtingen van BlueCie?

BlueCie heeft een dubbele rol. Enerzijds is BlueCie de dataverwerker van de data die jij als Dataverwerkingsverantwoordelijke verzameld hebt. In die rol zorgt BlueCie ervoor dat:

  • het duidelijk is wie legale verantwoordelijkheid draagt. Afhankelijk van het type dienst dragen wij als verwerker meer of minder verantwoordelijkheid;
  • elke medewerker perfect op de hoogte is van alles wat GDPR inhoudt;
  • je data maximaal beveiligd is;
  • we logs bijhouden van dataverwerkingen die we doen op jouw data (bv. het backuppen van data);
  • een eventuele schending van de beveiligingen op door ons beheerde infrastructuur, zo snel mogelijk aan jou gemeld wordt;
  • we van dichtbij opvolgen welke inspanningen onze leveranciers en partners doen om GDPR-compliant te worden;
  • onze Sub-Verwerkers, derde partijen die wij inhuren voor dataverwerking, conform de GDPR-wetgeving werken;
  • je beveiligde toegang krijgt tot jouw gegevens of we je een kopie ervan bezorgen wanneer je als klant kiest voor een andere dataverwerker.

Anderzijds beheert BlueCie als dataverwerkingsverantwoordelijke jouw persoonlijke informatie. We zorgen ervoor dat wij ook in die rol GDPR-compliant zijn. Dat betekent dat jij als datasubject een aantal rechten hebt.

  • je mag je data inkijken en indien nodig laten verbeteren;
  • je mag ten allen tijde je mailvoorkeuren wijzigen of je actieve toestemming terugtrekken;
  • je mag informatie over je data vragen (hoe lang wij je data bewaren, waarom wij die data verzamelen, welke personen/organisaties er toegang toe hebben, enz.);
  • je mag vragen om je gegevens te wissen. Dit betreft gegevens waarvoor actieve toestemming gegeven is of wanneer er een gerechtvaardig belang is. Data die om contractgerelateerde redenen nodig is (om facturen te kunnen sturen of bepaalde technische aanpassingen te melden, bijvoorbeeld), vallen onder wettelijk bepaalde bewaartermijnen. Na deze termijnen worden de gegevens automatisch gewist.

Nog vragen?

Heb je als klant van BlueCie nog vragen omtrent GDPR, contacteer dan onze Servicedesk.