UBA Data Protection Guide

Hoe helpt deze gids u concreet?

Deze gids is een essentieel instrument om effectief te werken, communiceren en adverteren en tegelijkertijd de gegevens van uw klanten en consumenten te beschermen.

 De gids bestaat uit vijf delen:

  • Hoe organiseert u uw team?
  • Hoe verzamelt u consumentengegevens op correcte wijze?
  • Hoe de opslag van consumentengegevens effectief organiseren?
  • Hoe gebruikt u gericht consumentengegevens?
  • Hoe zorgt u voor meer transparantie en vertrouwen?

Deel 1. Hoe organiseert u uw team?

In dit eerste hoofdstuk leert u hoe u het fundament legt van uw beleid rond consumentendata alsook het creëren van duidelijkheid over taken, verantwoordelijkheden, interne communicatie, policies, processen en audits.

Klik hier om het eerste deel van de gids in PDF-formaat te downloaden.

De DPO: de spilfiguur voor de organisatie

Een Data Protection Officer (hierna DPO) organiseert het volledige proces van de gegevensbescherming. De GDPR (General Data Protection Regulation) ofwel AVG (Algemene Verordening Gegevensbescherming) bepaalt voor welke organisaties een DPO verplicht is. Is het in uw geval niet verplicht dan is een centraal aanspreekpunt toch raadzaam. Zo stimuleert u intern duidelijkheid en efficiëntie. Uiteraard moet uw formele of informele DPO kunnen terugvallen op experten bij moeilijkere of meer technische vragen. 

Belangrijk: de DPO draagt niet de eindverantwoordelijkheid voor het naleven van de Data Protection-regels: die ligt bij het management. Uiteraard hoeft de directie niet bij elke vraag rond gegevensbescherming betrokken te worden. Wél is het belangrijk dat er heldere (werk)afspraken zijn voor beslissingsbevoegdheid en taakomschrijving. Dat schept voor iedereen duidelijkheid: elke medewerker weet aan wie je je vragen moet stellen. 

Bij de keuze van een DPO zijn deze drie criteria belangrijk:

  • Onafhankelijkheid

Het is belangrijk dat de DPO geen directiefunctie heeft. Daarmee vermindert u het risico op belangenvermenging. De GBA (Gegevensbeschermingsautoriteit, de toezichthoudende overheidsinstelling) let hier streng op en kan zelfs optreden.

  • Budget

De DPO moet de tijd en het geld krijgen om grondig te werk te gaan. Bij externe DPO’s wringt hier soms het schoentje. Zij werken vaak in een context waarin er minder budget wordt vrijgemaakt. Om kosten te besparen, is er immers geen ruimte voor een interne DPO. 

  • Bereikbaarheid

Een DPO moet ook alle aspecten van de verwerking van persoonsgegevens kennen. Dat betekent: hij of zij moet toegang hebben tot alle relevante informatie. Ook moet er een goede communicatie(structuur) zijn met de betrokken medewerkers. Een DPO is dus bij voorkeur iemand die het reilen en zeilen van een organisatie kent.

De DPO is ook de contactpersoon voor de GBA dus meld uw DPO daar zeker aan. Net zoals het voor interne doelgroepen duidelijk moet zijn wie het aanspreekpunt is. Leg hun uit waarom er een DPO is en wat hij of zij precies doet.  

Tot slot: een vraag of klacht van een consument is een signaal dat iets niet duidelijk of transparant is. Maak de drempel om te reageren zo laag mogelijk. Zorg dat de DPO hiervoor de ruimte en de middelen krijgt. Voor elk merk is een vraag of klacht over persoonsgegevens dé kans om te communiceren en de relatie te verbeteren.

Expertadvies. Een DPO, ook als het niet verplicht is 

Data is een complexe materie en dus is er steeds het risico dat er (juridische) fouten gebeuren. Daarom is een specialist een meerwaarde. Ook als deze niet officieel als DPO is aangesteld. Een externe DPO kan de oplossing zijn. Zeker als die vertrouwd is met uw sector. Een wisselend aanspreekpunt is niet raadzaam. Kennis van uw bedrijf en data-knowhow helpen het proces sneller vooruit, zeker in een crisissituatie.

DPO

Data protection op de radar zetten én houden

In veel organisaties zijn gegevensbescherming, privacy en data vaak een ver-van-mijn-bed-show. Zeker als er geen nieuwe ontwikkelingen zijn, verdwijnt de aandacht voor de wetgeving als sneeuw voor de zon. 

Daarom is het zo belangrijk om het onderwerp regelmatig op de agenda te zetten. Niet met droge theorie maar met interactieve trainingen, oefeningen rond beveiliging van data, het testen van processen zoals “Wat te doen bij een datalek?” of “Wat te doen als iemand zijn persoonsgegevens wil raadplegen?”. Dat zijn herkenbare situaties waarmee veel organisaties en medewerkers al te maken kregen. Processen testen is dus een nuttige oefening. U kunt bijvoorbeeld een fictieve vraag van een betrokkene lanceren, een nep phishing mail sturen naar iedereen of een datalek aankondigen om het proces te testen.

Een andere manier om data protection te laten leven, is door documenten voor security policies, processen en procesflows, beleidsbeslissingen, …. op een centrale plaats te verzamelen. Als ze op een intranet zichtbaar en toegankelijk zijn, zullen de medewerkers ze ook sneller raadplegen. 

Experttip. Organiseer fast track sessies rond Data Protection. 

Iedereen in uw organisatie moet basiskennis over gegevensbescherming hebben. Als u die kennis relevant maakt voor een specifieke functie, zal de interesse des te groter zijn. Een digital marketeer zal andere kennis nodig hebben dan een manager die beslissingen moet nemen over de verwerking van persoonsgegevens. Zorg ook voor regelmatige updates want herhaling is de kracht van communicatie. En test of de informatie bijblijft zodat u weet wanneer u de sessies moet bijsturen. 

Waarmee rekening houden in data protection processen?

Gegevensbescherming is verbonden aan regels dus is het efficiënt om uw interne processen regelmatig te toetsen aan de regelgeving. Die processen legt u vast 

  • voor technische en organisatorische maatregelen bij het selecteren van een verwerker
  • voor een getekende verwerkersovereenkomst voor de verwerking begint 
  • om de rechten van betrokkenen te garanderen
  • in het geval van verschillende soorten data-lekken
  • om het register van verwerkingen up-to-date te houden
  • voor auditprocessen

Interne processen en audits

Een audit brengt aan het licht of uw processen doen wat ze moeten doen. En als er tekortkomingen zijn, kunt u die gericht verhelpen. 

  • Interne audits

Uw DPO of een externe partij gaat na of de processen de regels van de GDPR volgen. Maar het is ook nuttig om het aspect veiligheid van persoonsgegevens en andere data te testen. Daarvoor kun je externe specialisten inschakelen, bijvoorbeeld voor een zogeheten ‘pen-test’.  Tijdens deze test lichten zij uw systemen uitvoerig door. U kunt ook een beroep doen op ethische hackers om systematisch uw technische infrastructuur te screenen. Inclusief mobiele apps en SaaS-tool. 

  • Audits van verwerkers

Gebruikt uw bedrijf vaak of grote volumes persoonsgegevens van verwerkers? Dan is het raadzaam om hen te laten auditen. Zo weet u meteen of de technische beveiliging nog adequaat is. De regels voor gegevensbescherming vereisen dat die beveiliging rekening moet houden met de stand van de techniek. Dat betekent dat de beveiliging mee moet evolueren, ook als in de verwerkersovereenkomst expliciet is benoemd waaruit de minimale beveiliging moet bestaan. 

Het is duidelijk dat dergelijke audits specialistenwerk zijn. Laat ze daarom uitvoeren door uw DPO of door een externe partij. 

Deel 2: Hoe verzamelt u consumentengegevens op correcte wijze?

Deel 2 tot en met deel 5 van de UBA Data Protection Guide zijn enkel beschikbaar voor UBA-leden. Is uw bedrijf lid van UBA? Log u dan hier in.

Meer info?

Algemene verordening gegevensbescherming

Regels voor bedrijven en organisaties