Ontdek onze dienstverlening in 6 pijlers
U bevindt zich hier:
De nieuwe GDPR-wetgeving is sinds 25 mei 2018 in voege. Maar wat is hier nu van aan? Wat wordt van u als bedrijf verwacht? Is dit een zoveelste verhaal dat veel tijd en geld moet kosten? Gelukkig valt alles goed mee.
Op 25 mei 2018 werd de nieuwe AVG (Algemene Verordening Gegevensbescherming, in het Engels GDPR of General Data Protection Regulation), na een overgangsperiode van 2 jaar, officieel van kracht. Op deze datum moest uw onderneming in principe "GDPR-compliant" zijn, of in het Nederlands: in regel zijn met de nieuwe wetgeving. Elke onderneming wordt gevraagd na te gaan hoe omgegaan wordt met persoonsgegevens. Hierbij moeten de nodige waarborgen ten opzichte van de betrokkenen (de personen van wie gegevens bijgehouden worden) in acht worden genomen op vlak van onder meer beveiliging, transparantie, rechtmatigheid en dergelijke meer.
GDPR heeft een turbulente start gekend, waar handige GDPR-auditors met bangmakerij handig op ingespeeld hebben om ondernemingen snel tot handelen aan te manen. Dat ze hierbij soms exuberante tarieven hanteerden, hoorde er jammer genoeg ook bij.
Wij van Archytas willen dit anders aanpakken. Wij zijn de materie van een dichtbij gaan bekijken en kwamen tot de vaststelling dat elke onderneming inderdaad aan de nieuwe regelgeving moet voldoen maar dat de doemscenario’s die hier en daar geschetst werden fel overdreven waren. Toch zien wij enkele belangrijke redenen om toch de nodige inspanningen te leveren, hieronder niet-limitatief opgesomd.
Anderzijds waren en zijn er nog steeds ondernemers die de pakkans bijzonder klein achten en zich dus wel veilig voelen zonder inspanningen op het gebied van privacy. Ondertussen zijn er wel al enkele (stevige) boetes gevallen, ook in België.
Onze aanpak is uniek, in die zin dat we de problematiek zowel vanuit juridisch als IT-technisch oogpunt bekijken. We zijn vertrokken vanuit de wettekst van de verordening zelf, analyseerden wat daar precies in staat en vertaalden dit naar een concreet draaiboek.
We beginnen met een audit, om de bedrijfsprocessen waarbij persoonsgegevens worden verwerkt in kaart te brengen. Een IT-audit geeft ons inzicht in de bestaande infrastructuur en toont waar de gegevens verwerkt worden, wie toegang heeft, hoe het zit met de beveiliging, ... Al deze gegevens worden in een register gegoten dat als basisinstrument van uitermate groot belang is om uiteindelijk GDPR-compliant te zijn.
Daarnaast stellen we een onderbouwd verslag op waarin wordt beschreven op welke manier aan de GDPR-vereisten wordt voldaan, welke de technische waarborgen zijn en welke de procedures om aan de wettelijke beginselen te voldoen. Waar er nog tekortkomingen zijn formuleren we adviezen en concrete actiepunten om ook op deze laatste punten GDPR-compliant te worden. Dit verslag is eveneens een kritiek en onmisbaar werkinstrument. Een van de grote vereisten in het ganse GDPR-verhaal is de zogenaamde accountablilty. Het is niet voldoende om GDPR-compliant te zijn, het moet ook effectief aangetoond kunnen worden. Ons verslag stelt u bij een eventuele controle in staat om de toezichthoudende autoriteit een gepast antwoord te geven.
Met de oplevering van het register en het verslag is een heel belangrijke fase afgerond in het proces, maar daar houdt het in principe niet op. Ook in het vervolgtraject kan Archytas u verder bijstaan met wat wij noemen DPO-as-a-service waarin DPO staat voor Data Protection Officer, een term bepaald in de GDPR. Een DPO aanstellen is niet voor alle bedrijven bij wet verplicht maar elk bedrijf heeft wel de verplichting om de toepassing van de AVG verder op te volgen.
Zo moeten vooreerst de adviezen en actiepunten verder worden opgevolgd om de resterende problemen op te lossen. Archytas kan u hierin verder bijstaan. Dit kan gaan van een loutere periodieke opvolging met bijsturing waar nodig tot heus project management bij de implementatie.
Een tweede belangrijk punt is de bewustmaking op de werkvloer. GDPR vereist dat aangetoond kan worden dat de werknemers op de hoogte worden gebracht van eventuele gewijzigde procedures en bewust worden gemaakt van het hoe en waarom hiervan. Ook hierin kan Archytas u bijstaan.
Ten derde is het nodig dat bij het opstarten van nieuwe activiteiten, die gegevensverwerking met zich meebrengen, van bij aanvang wordt gezorgd dat hier compliant wordt gewerkt. Via een zogenaamde PIA (Privacy Impact Assessment) gaan we het proces bekijken en volgens de principes van Privacy by Design zorgen dat aan de wettelijke verplichtingen wordt voldaan.
Een vierde aspect is het contact met de toeziende autoriteit. Archytas kan voor u tussenkomen in contacten met de Gegevensbeschermingsautoriteit (GBA), bv. in het geval van controle of een klacht.
Ten slotte willen we nog meegeven dat we bij Archytas de GDPR en alle aanverwante wetgeving op de voet blijven volgen. Zo kunnen we lopende de samenwerking bijsturen en adviseren waar nodig.
Mocht u verder nog vragen hebben, aarzel dan zeker niet om contact met ons op te nemen. We zijn steeds beschikbaar voor meer uitleg. Bij interesse in een samenwerking komen wij graag nog eens bij u langs om concrete afspraken te maken en een traject op te starten.