26.09.2017 Views

Nucleus-Ebook-Hoe-maak-je-jouw-bedrijf-GDPR-compliant

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

North Trade Building<br />

Noorderlaan 133/8<br />

B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60<br />

F +32 (0) 3 275 01 69<br />

www.nucleus.be<br />

HOE MAAK JE<br />

JOUW BEDRIJF<br />

<strong>GDPR</strong> COMPLIANT?<br />

NUCLEUS Uptime-as-a-Service 1


<strong>GDPR</strong> UITGELEGD IN 5 VRAGEN<br />

over of, wanneer, hoe en aan wie persoonsgegevens worden<br />

verstrekt en waarvoor die gegevens mogen worden gebruikt.<br />

De <strong>GDPR</strong> tracht ook een betere harmonisatie te bereiken<br />

van wetgeving inzake gegevensbescherming, omdat die<br />

wetgeving per lidstaat op vandaag zeer sterk kan verschillen.<br />

1. WAT IS DE <strong>GDPR</strong>?<br />

<strong>GDPR</strong> is de afkorting van General Data Protection<br />

Regulation, de nieuwe Europese wetgeving over het<br />

beschermen van persoonsgegevens, die op 25 mei 2018<br />

van kracht wordt in alle Europese lidstaten.<br />

2. WAAROM KOMT DE <strong>GDPR</strong> ER?<br />

De <strong>GDPR</strong> is ontworpen om persoonsgegevens beter te<br />

beschermen in een digitaliserende wereld. De <strong>GDPR</strong> omvat<br />

bijna 100 artikels. Ze bevestigt bestaande beginselen<br />

van gegevensbescherming (bv. gegevensbeveiliging en<br />

minimalisatie), legt meer en meer vergaande verplichtingen<br />

op aan bedrijven die persoonsgegevens verwerken en geeft<br />

in essentie datasub<strong>je</strong>cten meer rechten ten aanzien van hun<br />

persoonsgegevens. Op die manier hebben ze meer controle<br />

3. VOOR WIE GELDT DE <strong>GDPR</strong>?<br />

De <strong>GDPR</strong> geldt voor alle bedrijven die op een<br />

geautomatiseerde of een gestructureerde manier<br />

persoonsgegevens verwerken. Persoonsgegevens zijn alle<br />

gegevens van natuurlijke personen die geïdentificeerd<br />

zijn (bv. een naam) of die identificeerbaar zijn (bv. een<br />

klantennummer). Bovendien verduidelijkt de <strong>GDPR</strong> dat<br />

gegevens zoals bijvoorbeeld online identificatoren (bv.<br />

IP-adressen) en genetische en biometrische gegevens<br />

eveneens persoonsgegevens zijn. Simpel gezegd:<br />

wanneer <strong>je</strong> ergens gegevens van natuurlijke personen,<br />

zoals (contactpersonen bij) klanten bijhoudt, moet <strong>je</strong><br />

in regel zijn met de <strong>GDPR</strong>. De <strong>GDPR</strong> geldt dus voor alle<br />

Europese bedrijven - groot én klein - die met gegevens van<br />

natuurlijke personen omgaan.<br />

North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />

NUCLEUS Uptime-as-a-Service 2


4. WAT STAAT ER IN DE <strong>GDPR</strong>?<br />

De <strong>GDPR</strong> breidt de verplichtingen voor bedrijven en de<br />

rechten voor datasub<strong>je</strong>cten aanzienlijk uit. Een greep uit<br />

het nieuwe assortiment:<br />

Verantwoordelijkheid: De <strong>GDPR</strong> voert een aantal<br />

nieuwe verplichtingen voor bedrijven in, waarvan het<br />

overkoepelende beginsel van verantwoordelijkheid<br />

(accountability) het belangrijkste is. Het betekent dat <strong>je</strong> als<br />

<strong>bedrijf</strong> de <strong>GDPR</strong> niet alleen moet respecteren, maar ook<br />

zelf moet kunnen aantonen dat <strong>je</strong> dat doet. Dit principe<br />

verplicht bedrijven dus om de nodige policies in te voeren<br />

en hun beleid en initiatieven rond de verwerking van<br />

persoonsgegevens goed te documenteren.<br />

“Data Protection by Design & Default”:<br />

Een aantal nieuwe verplichtingen en beginselen<br />

kunnen bedrijven helpen bij het nakomen van die<br />

verantwoordelijkheidsplicht. Zo zijn er de nieuwe<br />

beginselen van “Data Protection by Design & Default”.<br />

Deze beginselen verplichten bedrijven om te bezinnen<br />

vooraleer ze met een gegevensverwerking beginnen.<br />

Bedrijven moeten reeds van bij de start van een pro<strong>je</strong>ct<br />

met verwerking van persoonsgegevens nadenken over<br />

hoe die gegevens kunnen worden beschermd (data<br />

protection by design). Wanneer bedrijven verschillende<br />

opties aanbieden in hun producten of diensten, moeten<br />

zij standaard de meest privacyvriendelijke optie instellen<br />

(data protection by default). Daarnaast houdt de <strong>GDPR</strong><br />

voor sommige bedrijven ook een verplichting in om een<br />

register bij te houden van alle gegevens die zij verwerken.<br />

Bij gevoelige gegevensverwerkingen moeten ze ook een<br />

voorafgaande risicobeoordeling (een data protection<br />

impact assessment) uitvoeren.<br />

bestaande recht om het verwijderen van gegevens te<br />

vragen (right to be forgotten) versterkt. Bedrijven zijn dus<br />

in bepaalde gevallen verplicht gegevens te wissen als de<br />

persoon in kwestie daarom vraagt en als er geen andere<br />

motief voor verwerking bestaat.<br />

Meldplicht bij datalekken: Ook op het vlak van<br />

beveiliging, breidt de <strong>GDPR</strong> de verplichtingen voor<br />

bedrijven uit, door onder meer een verplichting in te<br />

voeren om datalekken te melden. Bedrijven moeten<br />

een datalek melden binnen de 72 uur, tenzij het niet<br />

waarschijnlijk is dat het lek een risico inhoudt voor de<br />

verzamelde persoonsgegevens.<br />

5. WAT ALS IK NIET VOLDOE AAN DE <strong>GDPR</strong>?<br />

Wie de <strong>GDPR</strong> overtreedt, riskeert boetes die kunnen<br />

oplopen tot 20 miljoen euro of vier procent van de globale<br />

jaarlijkse omzet.<br />

Transparantie: De <strong>GDPR</strong> zet ook in op een betere<br />

transparantie rond gegevensverwerking. Bedrijven moeten<br />

datasub<strong>je</strong>cten op begrijpelijke en op zeer uitgebreide<br />

manier informeren over de gegevens die ze over hen<br />

verwerken. Zo moet <strong>je</strong> als <strong>bedrijf</strong> onder meer informatie<br />

geven over de doeleinden waarvoor <strong>je</strong> de gegevens zal<br />

gebruiken, de bedrijven die de gegevens zullen ontvangen,<br />

de bewaarduur van de gegevens, enz.<br />

Nieuwe en of meer uitgebreide rechten zoals<br />

het recht op overdraagbaarheid van gegevens<br />

en het recht op gegevenswissing: onder<br />

bepaalde voorwaarden kunnen datasub<strong>je</strong>cten hun<br />

persoonsgegevens opvragen bij dienstverleners en zelfs<br />

vragen om de gegevens rechtstreeks aan een andere<br />

dienstverlener te bezorgen. Verder wordt ook het<br />

North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />

NUCLEUS Uptime-as-a-Service 3


STAPPENPLAN VOOR <strong>GDPR</strong><br />

COMPLIANCE<br />

<strong>Hoe</strong> zorg <strong>je</strong> ervoor dat <strong>jouw</strong> <strong>bedrijf</strong> of organisatie<br />

voldoet aan de <strong>GDPR</strong>? Wat moet <strong>je</strong> allemaal<br />

doen om helemaal in orde te zijn? De Belgische<br />

privacycommissie zorgde voor een uitgebreid<br />

stappenplan. Wij namen dit als basis voor dit<br />

hoofdstuk en vatten de belangrijkste dingen<br />

daaruit even samen.<br />

Het is vooraf goed om te weten dat veel van de<br />

basisprincipes en concepten uit de <strong>GDPR</strong> nu ook al terug<br />

te vinden zijn in de actuele Belgische Privacywet (wet van<br />

8 december 1992). Dus als <strong>je</strong> vandaag al voldoet aan de<br />

huidige wetgeving, kan <strong>je</strong> dat als uitgangspunt nemen<br />

voor de implementatie van de <strong>GDPR</strong>. Toch zijn er nog veel<br />

nieuwigheden die <strong>jouw</strong> extra aandacht verdienen. We<br />

overlopen 13 stappen die de Privacycommissie aanbeveelt<br />

om volledig <strong>GDPR</strong>-<strong>compliant</strong> te worden.<br />

2. REGISTER VAN VERWERKINGSACTIVITEITEN<br />

Breng duidelijk in kaart welke persoonsgegevens <strong>je</strong><br />

verwerkt, waarom <strong>je</strong> die verwerkt, waar <strong>je</strong> die bewaart,<br />

met welke parti<strong>je</strong>n <strong>je</strong> deze persoonsgegevens deelt, enz.<br />

Je kan hiervoor een informatie-audit organiseren.<br />

3. PRIVACYVERKLARING<br />

Controleer of <strong>je</strong> privacyverklaring nog up-to-date is. Om<br />

in orde te zijn met de <strong>GDPR</strong> moet <strong>je</strong> de privacyverklaring<br />

aanvullen met extra informatie. Je moet onder meer<br />

de wettelijke basis voor de gegevensverwerking en de<br />

bewaarduur van de gegevens meedelen en laten weten of<br />

de gegevens ook buiten de EU gedeeld worden. De <strong>GDPR</strong><br />

geeft verder aan dat de privacyverklaring zo duidelijk en<br />

begrijpelijk mogelijk moet zijn.<br />

4. WETTELIJKE BASIS<br />

Net zoals de Belgische Privacywet, vereist de <strong>GDPR</strong> een<br />

wettelijke basis voor gegevensverwerking. De bepaling van<br />

die wettelijke basis is zeer belangrijk omdat die ook deels<br />

bepaalt welke rechten de gebruiker heeft. ”De betrokkene<br />

heeft bijvoorbeeld een sterker recht om de verwijdering<br />

van zijn gegevens te vragen indien zijn toestemming<br />

aan de grondslag lag voor de verwerking,” volgens de<br />

Privacycommissie. Die wettelijke grondslag moet <strong>je</strong> in de<br />

privacyverklaring zetten en nog eens verduidelijken bij een<br />

verzoek tot toegang tot persoonsgegevens.<br />

5. RECHTEN VAN DE BETROKKENE<br />

1. BEWUSTMAKING<br />

Zorg ervoor dat alle medewerkers in <strong>je</strong> <strong>bedrijf</strong> op de<br />

hoogte zijn van de <strong>GDPR</strong> en de implicaties ervan. Zorg<br />

ervoor dat beslissingsmakers weten wat er moet gebeuren<br />

om volledig in orde te zijn met de wetgeving.<br />

In de <strong>GDPR</strong> krijgt de “betrokkene”, of de gebruiker wiens<br />

persoonsgegevens worden verzameld, enkele bijkomende<br />

rechten en worden bestaande rechten verruimd. Je moet<br />

zorgen dat <strong>je</strong> die rechten kan vervullen. Deze rechten<br />

stonden ook al in de eerdere Belgische wetgeving, maar<br />

controleer toch best of een gebruiker de volgende acties kan<br />

ondernemen:<br />

• toegang vragen tot persoonsgegevens<br />

• vragen om gegevens te verbeteren of te verwijderen<br />

• vragen om de gegevensverwerking te beperken<br />

• zich verzetten tegen een verwerking voor direct marketing<br />

• niet onderworpen te worden aan geautomatiseerde<br />

besluitvorming en profilering<br />

• gegevens in een gestructureerd, gangbaar en machineleesbaar<br />

formaat overdragen naar andere leveranciers/<br />

bedrijven<br />

North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />

NUCLEUS Uptime-as-a-Service 4


6. VERZOEK TOT TOEGANG<br />

De gebruiker heeft het recht om zijn of haar gegevens<br />

en informatie over de verwerking van zijn gegevens in te<br />

kijken. Dat is nu ook al het geval, maar door de <strong>GDPR</strong> zal<br />

<strong>je</strong> sneller moeten reageren. Het verzoek moet binnen 30<br />

dagen worden verwerkt, in plaats van 45 dagen voordien.<br />

7. TOESTEMMING<br />

Als toestemming de wettelijke basis is voor een<br />

gegevensverwerking, controleer dan op welke manier <strong>je</strong><br />

toestemming vraagt om gegevens te verwerken en hoe <strong>je</strong><br />

die toestemming bewaart. Je moet op elk moment kunnen<br />

bewijzen dat er een ondubbelzinnige toestemming is<br />

gegeven voor de verwerking van persoonsgegevens die <strong>je</strong><br />

uitvoert. De gebruiker moet – in tegenstelling tot voorheen<br />

- actief akkoord gaan (een positieve handeling stellen), bv.<br />

via het aanvinken van een vak<strong>je</strong>.<br />

wordt geanalyseerd - is een voorbeeld van hoe <strong>je</strong> Data<br />

Protection by Design in praktijk kan omzetten. Zorg ervoor<br />

dat <strong>je</strong> organisatie klaar is om beide concepten effectief te<br />

implementeren.<br />

11. DATA PROTECTION OFFICER<br />

In tegenstelling tot wat <strong>je</strong> vaak leest of hoort, heeft niet<br />

elk <strong>bedrijf</strong> een Data Protection Officer (DPO) nodig. Bekijk<br />

dus eerst of <strong>jouw</strong> <strong>bedrijf</strong> verplicht is om een DPO aan te<br />

stellen, al is het idee dat één persoon de opvolging van<br />

gegevensbescherming in zijn takenpakket heeft wellicht<br />

nuttig voor elk <strong>bedrijf</strong>. De regels rond het aanstellen van<br />

Data Protection Officers, behandelen we in onze hoofdstuk<br />

“Heeft <strong>jouw</strong> <strong>bedrijf</strong> een Data Protection Officer nodig?”. Als<br />

<strong>je</strong> er een nodig hebt, weet dan dat dat niet noodzakelijk<br />

iemand hoeft te zijn die vast in dienst is of daar fulltime<br />

mee bezig is. Je kan ook kiezen voor een consultant of<br />

een medewerker die de functie naast zijn bestaande job<br />

opneemt.<br />

8. MINDERJARIGEN<br />

Je moet nagaan of gebruikers al dan niet meerderjarig<br />

zijn. Wanneer <strong>je</strong> gegevens van gebruikers onder 16 jaar<br />

verzamelt, moet <strong>je</strong> de toestemming hebben van een<br />

ouder of voogd. Bovendien moet de privacyverklaring<br />

zo geschreven zijn dat ook minderjarigen hem kunnen<br />

begrijpen.<br />

9. DATALEKKEN<br />

De <strong>GDPR</strong> omvat een verplichte meldplicht voor datalekken.<br />

Je moet dus procedures ontwikkelen om datalekken zo<br />

snel mogelijk op te sporen, te onderzoeken en te melden.<br />

Wanneer bepaalde persoonsgegevens met een hoog risico<br />

– zoals bankgegevens bijvoorbeeld – gecompromiteerd<br />

worden, moet <strong>je</strong> de gebruiker zelf waarschuwen.<br />

10. DATA PROTECTION BY DESIGN EN DATA<br />

PROTECTION IMPACT ASSESSMENT<br />

Twee zeer belangrijke begrippen van de <strong>GDPR</strong> zijn<br />

“Data Protection by Design” en “Protection Impact<br />

Assessment”. Data Protection by Design draait om het<br />

inbouwen van privacy vanaf het prille begin: elk proces<br />

binnen <strong>je</strong> <strong>bedrijf</strong> moet vanaf nu rekening houden met<br />

gegevensbescherming. Het houden van Data Protection<br />

Impact Assessments – waarbij de risico’s van elk<br />

nieuwe systeem of proces met gegevensverwerking<br />

12. INTERNATIONAAL<br />

Als <strong>je</strong> in verschillende landen persoonsgegevens<br />

verzamelt, moet <strong>je</strong> weten welke autoriteit toezicht houdt<br />

over <strong>jouw</strong> activiteiten. Over het algemeen wordt daarbij<br />

naar de hoofdzetel gekeken. Wanneer niet de hoofdzetel<br />

maar een afdeling in een ander land beslist over de<br />

gegevensverwerking, valt het <strong>bedrijf</strong> onder de autoriteit<br />

in dat specifieke land. Hou er ook rekening mee dat er<br />

strenge regels bestaan wanneer persoonsgegevens over<br />

de Europese landsgrenzen reizen of van buiten Europa<br />

toegankelijk zijn.<br />

13. BESTAANDE CONTRACTEN<br />

De <strong>GDPR</strong> heeft ook een impact op de diensten en<br />

oplossingen waar <strong>je</strong> <strong>bedrijf</strong> gebruik van <strong>maak</strong>t. Gebruik<br />

<strong>je</strong> bijvoorbeeld een CRM of marketing automation<br />

oplossing, dan moet ook die <strong>GDPR</strong>-<strong>compliant</strong> zijn. Ook<br />

cloud providers vallen onder de regels. De <strong>GDPR</strong> legt de<br />

verantwoordelijkheid om te controleren of alle diensten<br />

en oplossingen <strong>compliant</strong> zijn bij jou. Controleer dus<br />

bestaande contracten en <strong>maak</strong> de nodige aanpassingen.<br />

Het volledige stappenplan van de Belgische<br />

Privacycommissie kan <strong>je</strong> hier downloaden.<br />

North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />

NUCLEUS Uptime-as-a-Service 5


HEEFT JOUW BEDRIJF EEN<br />

DATA PROTECTION OFFICER<br />

NODIG?<br />

In ons stappenplan richting <strong>GDPR</strong> hebben we het<br />

in stap 11 over de Data Protection Officer (DPO).<br />

Maar in tegenstelling tot wat <strong>je</strong> vaak leest of hoort,<br />

moet niet elk <strong>bedrijf</strong> een Data Protection Officer<br />

aanwerven. <strong>Hoe</strong> zit dat voor <strong>jouw</strong> <strong>bedrijf</strong>?<br />

Aan de andere kant worden activiteiten zoals IT-support<br />

van een <strong>bedrijf</strong> eerder als bijkomstige activiteiten dan<br />

kernactiviteiten beschouwd, terwijl net deze afdelingen<br />

vaak wél op regelmatige en stelselmatige manier<br />

observatie vereisen.<br />

“Op grote schaal” kan op verschillende zaken<br />

betrekking hebben, zoals het aantal datasub<strong>je</strong>cten dat<br />

betrokken is, het volume van de data, de duur van de<br />

verwerkingsactiviteit, de geografische reikwijdte enz. Een<br />

voorbeeld van een gegevensverwerking op grote schaal is<br />

opnieuw het ziekenhuis dat om gezondheidszorg te kunnen<br />

aanbieden grote hoeveelheden patiëntengegevens moet<br />

verwerken.<br />

WELKE BEDRIJVEN MOETEN VERPLICHT EEN<br />

DATA PROTECTION OFFICER HEBBEN?<br />

Of <strong>je</strong> al dan niet een DPO moet aannemen heeft niks te<br />

maken met de omvang van <strong>je</strong> <strong>bedrijf</strong>. Wél met het feit of<br />

<strong>jouw</strong> <strong>bedrijf</strong> één van de onderstaande drie activiteiten<br />

uitoefent.<br />

• Is <strong>jouw</strong> <strong>bedrijf</strong> of organisatie een overheidsinstantie of<br />

-orgaan?<br />

• Is <strong>jouw</strong> <strong>bedrijf</strong> hoofdzakelijk belast met gegevensverwerking<br />

die regelmatige en stelselmatige observatie<br />

van betrokkenen op grote schaal eist?<br />

• Is <strong>jouw</strong> <strong>bedrijf</strong> hoofdzakelijk belast met de verwerking<br />

van bijzondere categorieën van gevoelige gegevens<br />

zoals ras, politieke voorkeur, religieuze overtuiging,<br />

gezondheidsgegevens of gegevens over strafrechtelijke<br />

feiten?<br />

Indien <strong>je</strong> op alle bovenstaande vragen “nee” antwoordde,<br />

is de kans groot dat <strong>jouw</strong> <strong>bedrijf</strong> niet verplicht is om<br />

een Data Protection Officer aan te stellen. Het is<br />

evenwel voor elk <strong>bedrijf</strong> nuttig om de opvolging van de<br />

gegevensbescherming binnen het <strong>bedrijf</strong> aan één of<br />

meerdere personen toe te wijzen.<br />

De bovenstaande omschrijvingen vragen nogal wat<br />

interpretatie. Recent heeft een Europese groep van<br />

privacycommissies duiding verschaft rond enkele<br />

begrippen.<br />

“Hoofdzakelijk” betekent dat gegevensverwerking tot de<br />

kernactiviteiten van het <strong>bedrijf</strong> behoort. Dus wanneer<br />

de kernactiviteiten van een <strong>bedrijf</strong> onlosmakelijk de<br />

verwerking van persoonsgegevens vereisen, zoals<br />

bijvoorbeeld het geval is voor een ziekenhuis. Een<br />

ziekenhuis kan nu eenmaal geen gezondheidszorg<br />

aanbieden zonder het verwerken van patiëntengegevens.<br />

WAT DOET DE DATA PROTECTION OFFICER?<br />

Simpel gezegd, controleert de DPO of alle<br />

persoonsgegevens correct worden bewaard, gebruikt<br />

en gedeeld. Hij of zij moet toezien dat de Europese en<br />

nationale regels inzake gegevensbescherming en de<br />

privacy en data protection policies van het <strong>bedrijf</strong> worden<br />

nageleefd. Daarnaast is de DPO het contactpunt voor<br />

de gegevensbeschermingsautoriteiten. Als <strong>jouw</strong> <strong>bedrijf</strong><br />

bijvoorbeeld te maken krijgt met een gegevenslek, is<br />

de DPO de contactpersoon voor de privacycommissie.<br />

De DPO informeert en adviseert <strong>je</strong> <strong>bedrijf</strong> ook omtrent<br />

de <strong>GDPR</strong>-verplichtingen en staat in voor het trainen van<br />

werknemers en het uitvoeren van eventuele audits.<br />

Tenslotte is het de DPO die antwoordt op alle vragen over<br />

de gegevensverwerking en de rechten van de betrokkenen<br />

van wie de gegevens verwerkt worden.<br />

WIE KAN DATA PROTECTION OFFICER WORDEN?<br />

In de <strong>GDPR</strong> wordt niet beschreven welke specificaties<br />

gelden voor een DPO. Er staat nergens welk diploma<br />

hij of zij moet hebben. De <strong>GDPR</strong> stelt wel dat de DPO<br />

moet beschikken over onder meer “deskundigheid op<br />

het gebied van de wetgeving en de praktijk inzake<br />

gegevensbescherming”. De Data Protection Officer hoeft<br />

bovendien niet per se een eigen werknemer te zijn. Ook<br />

experts van buiten <strong>jouw</strong> <strong>bedrijf</strong> kunnen de rol van DPO<br />

vervullen.<br />

North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />

NUCLEUS Uptime-as-a-Service 6


IS JOUW CLOUD PROVIDER<br />

KLAAR VOOR <strong>GDPR</strong>?<br />

Een belangrijk en complex aspect van <strong>GDPR</strong> is dat<br />

<strong>je</strong> niet alleen moet zorgen dat <strong>je</strong> zelf <strong>compliant</strong><br />

bent, maar dat ook oplossingen en diensten die<br />

<strong>je</strong> gebruikt voor gegevensverwerking dat zijn. De<br />

eindverantwoordelijkheid wat betreft compliance ligt<br />

op dat vlak bij jou. Niet evident in een tijd waar heel<br />

wat van onze gegevens zich in de cloud bevinden.<br />

Welk <strong>bedrijf</strong> kan vandaag nog zeggen dat het niets<br />

in de cloud heeft staan of geen cloudtoepassingen<br />

gebruikt? Denk maar aan oplossingen als Microsoft Office<br />

365, Salesforce, SuccessFactors, Dropbox, Evernote,<br />

WeTransfer, enz. Heel wat van die toepassingen worden<br />

vaak bovendien oogluikend of zelfs zonder medeweten van<br />

IT gebruikt. De vraag is dus: kan <strong>je</strong> wel helemaal <strong>GDPR</strong><strong>compliant</strong><br />

zijn met zoveel tools – waarvan <strong>je</strong> van sommige<br />

niet eens weet dat ze gebruikt worden – in de cloud?<br />

Wij hebben alvast een aantal vereisten opgelijst om toch<br />

met cloud providers te kunnen blijven werken.<br />

De eerste vereiste is uiteraard aan <strong>je</strong> cloud provider vragen<br />

of hij <strong>GDPR</strong>-<strong>compliant</strong> is. Is dat het geval, heb <strong>je</strong> weinig<br />

zorgen. Maar toch zijn er een aantal vereisten waar <strong>je</strong> best<br />

ook aan voldoet.<br />

1. WEET WAAR JE CLOUD PROVIDER JE<br />

GEGEVENS VERWERKT EN BEWAART<br />

De eerste vereiste is meteen een hele belangrijke. Je moet<br />

weten waar <strong>je</strong> cloud provider <strong>jouw</strong> gegevens verwerkt<br />

en bewaart en welke wetgeving er op van toepassing is.<br />

Op elk moment. Want de kans is reëel – zeker bij grotere<br />

toepassingen – dat <strong>je</strong> gegevens al eens naar datacenters<br />

buiten Europa reizen.<br />

2. WEET HOE JE CLOUD PROVIDER JE GEGEVENS<br />

BEVEILIGT<br />

3. BEZORG JE CLOUD PROVIDER ALLEEN<br />

NOODZAKELIJKE GEGEVENS<br />

Verzamel alleen gegevens die <strong>je</strong> ook effectief<br />

gebruikt. Minimalisatie van gegevens is immers één<br />

van de beginselen van de <strong>GDPR</strong>. Let ook op met het<br />

verzamelen of verwerken van speciale gegevens, zoals<br />

gezondheidsgegevens, gerechtelijke gegevens enz. Voor<br />

deze gegevens gelden er nog strengere regels dan voor<br />

gewone persoonsgegevens.<br />

5. SLUIT VERWERKERSCONTRACTEN AF MET JE<br />

CLOUD PROVIDER<br />

Sluit een contract af met <strong>je</strong> cloud provider dat duidelijk<br />

aflijnt wat er kan op vlak van gegevensverwerking. De<br />

<strong>GDPR</strong> vermeldt een aantal bepalingen die <strong>je</strong> verplicht in<br />

<strong>jouw</strong> contract moet opnemen, bv. rond het gebruik van<br />

de gegevens, de vertrouwelijkheidsverplichting van het<br />

personeel van de cloud provider, enz.<br />

6. VERBIED JE CLOUD PROVIDER GEGEVENS<br />

VOOR ANDERE DOELEINDEN TE GEBRUIKEN<br />

Sta niet toe dat <strong>je</strong> cloud provider persoonsgegevens<br />

gebruikt voor andere doeleinden en zet dit duidelijk in <strong>je</strong><br />

verwerkerscontract. Controleer in de gebruiksvoorwaarden<br />

van de cloud provider of er vermeld wordt dat de klant<br />

eigenaar is van de gegevens en dat de cloud provider<br />

gegevens niet zal delen met andere parti<strong>je</strong>n of voor eigen<br />

doeleinden kan gebruiken.<br />

Het is duidelijk dat dit één van de moeilijkste aspecten<br />

zal worden op het vlak van <strong>GDPR</strong>-compliance met<br />

cloud providers. Er is een zeer groot aanbod aan<br />

cloudtoepassingen en de opkomst van ‘shadow IT’<br />

helpt ook niet. Heel wat cloud providers zijn bovendien<br />

internationale (lees: niet-Europese) spelers die niet staan<br />

te springen voor de strenge regelgeving van de <strong>GDPR</strong>.<br />

Lokale hosting van gegevens en lokale (lees: Europese)<br />

cloudtoepassingen zouden dus mogelijk een flinke boost<br />

kunnen krijgen eens de <strong>GDPR</strong> van kracht wordt.<br />

Daarnaast moet <strong>je</strong> ook weten hoe de cloud provider<br />

<strong>jouw</strong> gegevens zal beveiligen rekening houdend met de<br />

specifieke risico’s die met de business van <strong>jouw</strong> <strong>bedrijf</strong><br />

gepaard gaan. Vraag deze informatie op bij de cloud<br />

provider en neem deze informatie eventueel als een annex<br />

bij een verwerkerscontract op.<br />

North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />

NUCLEUS Uptime-as-a-Service 7


MEER, MEER, MEER?<br />

IK SCHRIJF ME IN<br />

Dit ebook <strong>maak</strong>t deel uit van een reeks ebooks & blogs<br />

over hosting, cloud, business continuity, security en<br />

e-commerce die <strong>Nucleus</strong> uitbrengt.<br />

Wil <strong>je</strong> op de hoogte blijven van nieuwe blogposts of<br />

eBooks? Schrijf <strong>je</strong> dan nu in.<br />

Wij beloven plechtig dat we niet meer dan één update<br />

per week zullen sturen. Geen verpakte promotie, maar<br />

relevante en kwalitatieve inhoud.<br />

North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />

NUCLEUS Uptime-as-a-Service 8


OVER ONS<br />

Wat er ook gebeurt, bij ons zijn <strong>je</strong> websites, applicaties en<br />

servers maximaal beschikbaar. Dat garanderen we. Onze<br />

focus ligt op hosting en alles wat daarbij komt kijken, zoals<br />

cloud, security, business continuity, managed services,<br />

DevOps, enz.<br />

We bestaan sinds 2000 en zijn intussen een absolute<br />

expert in hosting. Dankzij een gezonde groei en een<br />

verstandig beleid zijn we uitgegroeid tot een Belgische<br />

hosting-expert.<br />

Onze kracht zit in de expertise van een groeiend team van<br />

gedreven mensen. Dat zijn stuk voor stuk specialisten in<br />

hun vakgebied, die elkaar aanvullen en perfect als team<br />

functioneren.<br />

Wat ons anders <strong>maak</strong>t dan anderen? Onze eigenheid. We<br />

zijn helemaal onszelf op vijf verschillende manieren.<br />

CUSTOMER FIRST<br />

De klant staat bij ons centraal. Dat zegt toch elk <strong>bedrijf</strong>?<br />

Klopt, maar wij zetten het in de praktijk. De tevredenheid<br />

van onze klanten is onze grootste KPI.<br />

CONSULTANCY<br />

Adviseren zit in het DNA van onze organisatie:<br />

eerst luisteren, dan overleggen en daarna pas actie<br />

ondernemen.<br />

KWALITEIT<br />

Kwaliteit staat altijd voorop. In de diensten en oplossingen<br />

die we aanbieden, maar ook in de dienstverlening die erbij<br />

hoort.<br />

TRANSPARANTIE<br />

We geloven in open en eerlijke communicatie. Als alles op<br />

rollet<strong>je</strong>s loopt, maar ook als er iets mis gaat.<br />

GEEKS<br />

We zijn geeks en we zijn er trots op. We zijn dol op<br />

technologie. En pizza. En science fiction.<br />

North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />

T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />

NUCLEUS Uptime-as-a-Service 9

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!