Nucleus-Ebook-Hoe-maak-je-jouw-bedrijf-GDPR-compliant
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
North Trade Building<br />
Noorderlaan 133/8<br />
B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60<br />
F +32 (0) 3 275 01 69<br />
www.nucleus.be<br />
HOE MAAK JE<br />
JOUW BEDRIJF<br />
<strong>GDPR</strong> COMPLIANT?<br />
NUCLEUS Uptime-as-a-Service 1
<strong>GDPR</strong> UITGELEGD IN 5 VRAGEN<br />
over of, wanneer, hoe en aan wie persoonsgegevens worden<br />
verstrekt en waarvoor die gegevens mogen worden gebruikt.<br />
De <strong>GDPR</strong> tracht ook een betere harmonisatie te bereiken<br />
van wetgeving inzake gegevensbescherming, omdat die<br />
wetgeving per lidstaat op vandaag zeer sterk kan verschillen.<br />
1. WAT IS DE <strong>GDPR</strong>?<br />
<strong>GDPR</strong> is de afkorting van General Data Protection<br />
Regulation, de nieuwe Europese wetgeving over het<br />
beschermen van persoonsgegevens, die op 25 mei 2018<br />
van kracht wordt in alle Europese lidstaten.<br />
2. WAAROM KOMT DE <strong>GDPR</strong> ER?<br />
De <strong>GDPR</strong> is ontworpen om persoonsgegevens beter te<br />
beschermen in een digitaliserende wereld. De <strong>GDPR</strong> omvat<br />
bijna 100 artikels. Ze bevestigt bestaande beginselen<br />
van gegevensbescherming (bv. gegevensbeveiliging en<br />
minimalisatie), legt meer en meer vergaande verplichtingen<br />
op aan bedrijven die persoonsgegevens verwerken en geeft<br />
in essentie datasub<strong>je</strong>cten meer rechten ten aanzien van hun<br />
persoonsgegevens. Op die manier hebben ze meer controle<br />
3. VOOR WIE GELDT DE <strong>GDPR</strong>?<br />
De <strong>GDPR</strong> geldt voor alle bedrijven die op een<br />
geautomatiseerde of een gestructureerde manier<br />
persoonsgegevens verwerken. Persoonsgegevens zijn alle<br />
gegevens van natuurlijke personen die geïdentificeerd<br />
zijn (bv. een naam) of die identificeerbaar zijn (bv. een<br />
klantennummer). Bovendien verduidelijkt de <strong>GDPR</strong> dat<br />
gegevens zoals bijvoorbeeld online identificatoren (bv.<br />
IP-adressen) en genetische en biometrische gegevens<br />
eveneens persoonsgegevens zijn. Simpel gezegd:<br />
wanneer <strong>je</strong> ergens gegevens van natuurlijke personen,<br />
zoals (contactpersonen bij) klanten bijhoudt, moet <strong>je</strong><br />
in regel zijn met de <strong>GDPR</strong>. De <strong>GDPR</strong> geldt dus voor alle<br />
Europese bedrijven - groot én klein - die met gegevens van<br />
natuurlijke personen omgaan.<br />
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />
NUCLEUS Uptime-as-a-Service 2
4. WAT STAAT ER IN DE <strong>GDPR</strong>?<br />
De <strong>GDPR</strong> breidt de verplichtingen voor bedrijven en de<br />
rechten voor datasub<strong>je</strong>cten aanzienlijk uit. Een greep uit<br />
het nieuwe assortiment:<br />
Verantwoordelijkheid: De <strong>GDPR</strong> voert een aantal<br />
nieuwe verplichtingen voor bedrijven in, waarvan het<br />
overkoepelende beginsel van verantwoordelijkheid<br />
(accountability) het belangrijkste is. Het betekent dat <strong>je</strong> als<br />
<strong>bedrijf</strong> de <strong>GDPR</strong> niet alleen moet respecteren, maar ook<br />
zelf moet kunnen aantonen dat <strong>je</strong> dat doet. Dit principe<br />
verplicht bedrijven dus om de nodige policies in te voeren<br />
en hun beleid en initiatieven rond de verwerking van<br />
persoonsgegevens goed te documenteren.<br />
“Data Protection by Design & Default”:<br />
Een aantal nieuwe verplichtingen en beginselen<br />
kunnen bedrijven helpen bij het nakomen van die<br />
verantwoordelijkheidsplicht. Zo zijn er de nieuwe<br />
beginselen van “Data Protection by Design & Default”.<br />
Deze beginselen verplichten bedrijven om te bezinnen<br />
vooraleer ze met een gegevensverwerking beginnen.<br />
Bedrijven moeten reeds van bij de start van een pro<strong>je</strong>ct<br />
met verwerking van persoonsgegevens nadenken over<br />
hoe die gegevens kunnen worden beschermd (data<br />
protection by design). Wanneer bedrijven verschillende<br />
opties aanbieden in hun producten of diensten, moeten<br />
zij standaard de meest privacyvriendelijke optie instellen<br />
(data protection by default). Daarnaast houdt de <strong>GDPR</strong><br />
voor sommige bedrijven ook een verplichting in om een<br />
register bij te houden van alle gegevens die zij verwerken.<br />
Bij gevoelige gegevensverwerkingen moeten ze ook een<br />
voorafgaande risicobeoordeling (een data protection<br />
impact assessment) uitvoeren.<br />
bestaande recht om het verwijderen van gegevens te<br />
vragen (right to be forgotten) versterkt. Bedrijven zijn dus<br />
in bepaalde gevallen verplicht gegevens te wissen als de<br />
persoon in kwestie daarom vraagt en als er geen andere<br />
motief voor verwerking bestaat.<br />
Meldplicht bij datalekken: Ook op het vlak van<br />
beveiliging, breidt de <strong>GDPR</strong> de verplichtingen voor<br />
bedrijven uit, door onder meer een verplichting in te<br />
voeren om datalekken te melden. Bedrijven moeten<br />
een datalek melden binnen de 72 uur, tenzij het niet<br />
waarschijnlijk is dat het lek een risico inhoudt voor de<br />
verzamelde persoonsgegevens.<br />
5. WAT ALS IK NIET VOLDOE AAN DE <strong>GDPR</strong>?<br />
Wie de <strong>GDPR</strong> overtreedt, riskeert boetes die kunnen<br />
oplopen tot 20 miljoen euro of vier procent van de globale<br />
jaarlijkse omzet.<br />
Transparantie: De <strong>GDPR</strong> zet ook in op een betere<br />
transparantie rond gegevensverwerking. Bedrijven moeten<br />
datasub<strong>je</strong>cten op begrijpelijke en op zeer uitgebreide<br />
manier informeren over de gegevens die ze over hen<br />
verwerken. Zo moet <strong>je</strong> als <strong>bedrijf</strong> onder meer informatie<br />
geven over de doeleinden waarvoor <strong>je</strong> de gegevens zal<br />
gebruiken, de bedrijven die de gegevens zullen ontvangen,<br />
de bewaarduur van de gegevens, enz.<br />
Nieuwe en of meer uitgebreide rechten zoals<br />
het recht op overdraagbaarheid van gegevens<br />
en het recht op gegevenswissing: onder<br />
bepaalde voorwaarden kunnen datasub<strong>je</strong>cten hun<br />
persoonsgegevens opvragen bij dienstverleners en zelfs<br />
vragen om de gegevens rechtstreeks aan een andere<br />
dienstverlener te bezorgen. Verder wordt ook het<br />
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />
NUCLEUS Uptime-as-a-Service 3
STAPPENPLAN VOOR <strong>GDPR</strong><br />
COMPLIANCE<br />
<strong>Hoe</strong> zorg <strong>je</strong> ervoor dat <strong>jouw</strong> <strong>bedrijf</strong> of organisatie<br />
voldoet aan de <strong>GDPR</strong>? Wat moet <strong>je</strong> allemaal<br />
doen om helemaal in orde te zijn? De Belgische<br />
privacycommissie zorgde voor een uitgebreid<br />
stappenplan. Wij namen dit als basis voor dit<br />
hoofdstuk en vatten de belangrijkste dingen<br />
daaruit even samen.<br />
Het is vooraf goed om te weten dat veel van de<br />
basisprincipes en concepten uit de <strong>GDPR</strong> nu ook al terug<br />
te vinden zijn in de actuele Belgische Privacywet (wet van<br />
8 december 1992). Dus als <strong>je</strong> vandaag al voldoet aan de<br />
huidige wetgeving, kan <strong>je</strong> dat als uitgangspunt nemen<br />
voor de implementatie van de <strong>GDPR</strong>. Toch zijn er nog veel<br />
nieuwigheden die <strong>jouw</strong> extra aandacht verdienen. We<br />
overlopen 13 stappen die de Privacycommissie aanbeveelt<br />
om volledig <strong>GDPR</strong>-<strong>compliant</strong> te worden.<br />
2. REGISTER VAN VERWERKINGSACTIVITEITEN<br />
Breng duidelijk in kaart welke persoonsgegevens <strong>je</strong><br />
verwerkt, waarom <strong>je</strong> die verwerkt, waar <strong>je</strong> die bewaart,<br />
met welke parti<strong>je</strong>n <strong>je</strong> deze persoonsgegevens deelt, enz.<br />
Je kan hiervoor een informatie-audit organiseren.<br />
3. PRIVACYVERKLARING<br />
Controleer of <strong>je</strong> privacyverklaring nog up-to-date is. Om<br />
in orde te zijn met de <strong>GDPR</strong> moet <strong>je</strong> de privacyverklaring<br />
aanvullen met extra informatie. Je moet onder meer<br />
de wettelijke basis voor de gegevensverwerking en de<br />
bewaarduur van de gegevens meedelen en laten weten of<br />
de gegevens ook buiten de EU gedeeld worden. De <strong>GDPR</strong><br />
geeft verder aan dat de privacyverklaring zo duidelijk en<br />
begrijpelijk mogelijk moet zijn.<br />
4. WETTELIJKE BASIS<br />
Net zoals de Belgische Privacywet, vereist de <strong>GDPR</strong> een<br />
wettelijke basis voor gegevensverwerking. De bepaling van<br />
die wettelijke basis is zeer belangrijk omdat die ook deels<br />
bepaalt welke rechten de gebruiker heeft. ”De betrokkene<br />
heeft bijvoorbeeld een sterker recht om de verwijdering<br />
van zijn gegevens te vragen indien zijn toestemming<br />
aan de grondslag lag voor de verwerking,” volgens de<br />
Privacycommissie. Die wettelijke grondslag moet <strong>je</strong> in de<br />
privacyverklaring zetten en nog eens verduidelijken bij een<br />
verzoek tot toegang tot persoonsgegevens.<br />
5. RECHTEN VAN DE BETROKKENE<br />
1. BEWUSTMAKING<br />
Zorg ervoor dat alle medewerkers in <strong>je</strong> <strong>bedrijf</strong> op de<br />
hoogte zijn van de <strong>GDPR</strong> en de implicaties ervan. Zorg<br />
ervoor dat beslissingsmakers weten wat er moet gebeuren<br />
om volledig in orde te zijn met de wetgeving.<br />
In de <strong>GDPR</strong> krijgt de “betrokkene”, of de gebruiker wiens<br />
persoonsgegevens worden verzameld, enkele bijkomende<br />
rechten en worden bestaande rechten verruimd. Je moet<br />
zorgen dat <strong>je</strong> die rechten kan vervullen. Deze rechten<br />
stonden ook al in de eerdere Belgische wetgeving, maar<br />
controleer toch best of een gebruiker de volgende acties kan<br />
ondernemen:<br />
• toegang vragen tot persoonsgegevens<br />
• vragen om gegevens te verbeteren of te verwijderen<br />
• vragen om de gegevensverwerking te beperken<br />
• zich verzetten tegen een verwerking voor direct marketing<br />
• niet onderworpen te worden aan geautomatiseerde<br />
besluitvorming en profilering<br />
• gegevens in een gestructureerd, gangbaar en machineleesbaar<br />
formaat overdragen naar andere leveranciers/<br />
bedrijven<br />
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />
NUCLEUS Uptime-as-a-Service 4
6. VERZOEK TOT TOEGANG<br />
De gebruiker heeft het recht om zijn of haar gegevens<br />
en informatie over de verwerking van zijn gegevens in te<br />
kijken. Dat is nu ook al het geval, maar door de <strong>GDPR</strong> zal<br />
<strong>je</strong> sneller moeten reageren. Het verzoek moet binnen 30<br />
dagen worden verwerkt, in plaats van 45 dagen voordien.<br />
7. TOESTEMMING<br />
Als toestemming de wettelijke basis is voor een<br />
gegevensverwerking, controleer dan op welke manier <strong>je</strong><br />
toestemming vraagt om gegevens te verwerken en hoe <strong>je</strong><br />
die toestemming bewaart. Je moet op elk moment kunnen<br />
bewijzen dat er een ondubbelzinnige toestemming is<br />
gegeven voor de verwerking van persoonsgegevens die <strong>je</strong><br />
uitvoert. De gebruiker moet – in tegenstelling tot voorheen<br />
- actief akkoord gaan (een positieve handeling stellen), bv.<br />
via het aanvinken van een vak<strong>je</strong>.<br />
wordt geanalyseerd - is een voorbeeld van hoe <strong>je</strong> Data<br />
Protection by Design in praktijk kan omzetten. Zorg ervoor<br />
dat <strong>je</strong> organisatie klaar is om beide concepten effectief te<br />
implementeren.<br />
11. DATA PROTECTION OFFICER<br />
In tegenstelling tot wat <strong>je</strong> vaak leest of hoort, heeft niet<br />
elk <strong>bedrijf</strong> een Data Protection Officer (DPO) nodig. Bekijk<br />
dus eerst of <strong>jouw</strong> <strong>bedrijf</strong> verplicht is om een DPO aan te<br />
stellen, al is het idee dat één persoon de opvolging van<br />
gegevensbescherming in zijn takenpakket heeft wellicht<br />
nuttig voor elk <strong>bedrijf</strong>. De regels rond het aanstellen van<br />
Data Protection Officers, behandelen we in onze hoofdstuk<br />
“Heeft <strong>jouw</strong> <strong>bedrijf</strong> een Data Protection Officer nodig?”. Als<br />
<strong>je</strong> er een nodig hebt, weet dan dat dat niet noodzakelijk<br />
iemand hoeft te zijn die vast in dienst is of daar fulltime<br />
mee bezig is. Je kan ook kiezen voor een consultant of<br />
een medewerker die de functie naast zijn bestaande job<br />
opneemt.<br />
8. MINDERJARIGEN<br />
Je moet nagaan of gebruikers al dan niet meerderjarig<br />
zijn. Wanneer <strong>je</strong> gegevens van gebruikers onder 16 jaar<br />
verzamelt, moet <strong>je</strong> de toestemming hebben van een<br />
ouder of voogd. Bovendien moet de privacyverklaring<br />
zo geschreven zijn dat ook minderjarigen hem kunnen<br />
begrijpen.<br />
9. DATALEKKEN<br />
De <strong>GDPR</strong> omvat een verplichte meldplicht voor datalekken.<br />
Je moet dus procedures ontwikkelen om datalekken zo<br />
snel mogelijk op te sporen, te onderzoeken en te melden.<br />
Wanneer bepaalde persoonsgegevens met een hoog risico<br />
– zoals bankgegevens bijvoorbeeld – gecompromiteerd<br />
worden, moet <strong>je</strong> de gebruiker zelf waarschuwen.<br />
10. DATA PROTECTION BY DESIGN EN DATA<br />
PROTECTION IMPACT ASSESSMENT<br />
Twee zeer belangrijke begrippen van de <strong>GDPR</strong> zijn<br />
“Data Protection by Design” en “Protection Impact<br />
Assessment”. Data Protection by Design draait om het<br />
inbouwen van privacy vanaf het prille begin: elk proces<br />
binnen <strong>je</strong> <strong>bedrijf</strong> moet vanaf nu rekening houden met<br />
gegevensbescherming. Het houden van Data Protection<br />
Impact Assessments – waarbij de risico’s van elk<br />
nieuwe systeem of proces met gegevensverwerking<br />
12. INTERNATIONAAL<br />
Als <strong>je</strong> in verschillende landen persoonsgegevens<br />
verzamelt, moet <strong>je</strong> weten welke autoriteit toezicht houdt<br />
over <strong>jouw</strong> activiteiten. Over het algemeen wordt daarbij<br />
naar de hoofdzetel gekeken. Wanneer niet de hoofdzetel<br />
maar een afdeling in een ander land beslist over de<br />
gegevensverwerking, valt het <strong>bedrijf</strong> onder de autoriteit<br />
in dat specifieke land. Hou er ook rekening mee dat er<br />
strenge regels bestaan wanneer persoonsgegevens over<br />
de Europese landsgrenzen reizen of van buiten Europa<br />
toegankelijk zijn.<br />
13. BESTAANDE CONTRACTEN<br />
De <strong>GDPR</strong> heeft ook een impact op de diensten en<br />
oplossingen waar <strong>je</strong> <strong>bedrijf</strong> gebruik van <strong>maak</strong>t. Gebruik<br />
<strong>je</strong> bijvoorbeeld een CRM of marketing automation<br />
oplossing, dan moet ook die <strong>GDPR</strong>-<strong>compliant</strong> zijn. Ook<br />
cloud providers vallen onder de regels. De <strong>GDPR</strong> legt de<br />
verantwoordelijkheid om te controleren of alle diensten<br />
en oplossingen <strong>compliant</strong> zijn bij jou. Controleer dus<br />
bestaande contracten en <strong>maak</strong> de nodige aanpassingen.<br />
Het volledige stappenplan van de Belgische<br />
Privacycommissie kan <strong>je</strong> hier downloaden.<br />
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />
NUCLEUS Uptime-as-a-Service 5
HEEFT JOUW BEDRIJF EEN<br />
DATA PROTECTION OFFICER<br />
NODIG?<br />
In ons stappenplan richting <strong>GDPR</strong> hebben we het<br />
in stap 11 over de Data Protection Officer (DPO).<br />
Maar in tegenstelling tot wat <strong>je</strong> vaak leest of hoort,<br />
moet niet elk <strong>bedrijf</strong> een Data Protection Officer<br />
aanwerven. <strong>Hoe</strong> zit dat voor <strong>jouw</strong> <strong>bedrijf</strong>?<br />
Aan de andere kant worden activiteiten zoals IT-support<br />
van een <strong>bedrijf</strong> eerder als bijkomstige activiteiten dan<br />
kernactiviteiten beschouwd, terwijl net deze afdelingen<br />
vaak wél op regelmatige en stelselmatige manier<br />
observatie vereisen.<br />
“Op grote schaal” kan op verschillende zaken<br />
betrekking hebben, zoals het aantal datasub<strong>je</strong>cten dat<br />
betrokken is, het volume van de data, de duur van de<br />
verwerkingsactiviteit, de geografische reikwijdte enz. Een<br />
voorbeeld van een gegevensverwerking op grote schaal is<br />
opnieuw het ziekenhuis dat om gezondheidszorg te kunnen<br />
aanbieden grote hoeveelheden patiëntengegevens moet<br />
verwerken.<br />
WELKE BEDRIJVEN MOETEN VERPLICHT EEN<br />
DATA PROTECTION OFFICER HEBBEN?<br />
Of <strong>je</strong> al dan niet een DPO moet aannemen heeft niks te<br />
maken met de omvang van <strong>je</strong> <strong>bedrijf</strong>. Wél met het feit of<br />
<strong>jouw</strong> <strong>bedrijf</strong> één van de onderstaande drie activiteiten<br />
uitoefent.<br />
• Is <strong>jouw</strong> <strong>bedrijf</strong> of organisatie een overheidsinstantie of<br />
-orgaan?<br />
• Is <strong>jouw</strong> <strong>bedrijf</strong> hoofdzakelijk belast met gegevensverwerking<br />
die regelmatige en stelselmatige observatie<br />
van betrokkenen op grote schaal eist?<br />
• Is <strong>jouw</strong> <strong>bedrijf</strong> hoofdzakelijk belast met de verwerking<br />
van bijzondere categorieën van gevoelige gegevens<br />
zoals ras, politieke voorkeur, religieuze overtuiging,<br />
gezondheidsgegevens of gegevens over strafrechtelijke<br />
feiten?<br />
Indien <strong>je</strong> op alle bovenstaande vragen “nee” antwoordde,<br />
is de kans groot dat <strong>jouw</strong> <strong>bedrijf</strong> niet verplicht is om<br />
een Data Protection Officer aan te stellen. Het is<br />
evenwel voor elk <strong>bedrijf</strong> nuttig om de opvolging van de<br />
gegevensbescherming binnen het <strong>bedrijf</strong> aan één of<br />
meerdere personen toe te wijzen.<br />
De bovenstaande omschrijvingen vragen nogal wat<br />
interpretatie. Recent heeft een Europese groep van<br />
privacycommissies duiding verschaft rond enkele<br />
begrippen.<br />
“Hoofdzakelijk” betekent dat gegevensverwerking tot de<br />
kernactiviteiten van het <strong>bedrijf</strong> behoort. Dus wanneer<br />
de kernactiviteiten van een <strong>bedrijf</strong> onlosmakelijk de<br />
verwerking van persoonsgegevens vereisen, zoals<br />
bijvoorbeeld het geval is voor een ziekenhuis. Een<br />
ziekenhuis kan nu eenmaal geen gezondheidszorg<br />
aanbieden zonder het verwerken van patiëntengegevens.<br />
WAT DOET DE DATA PROTECTION OFFICER?<br />
Simpel gezegd, controleert de DPO of alle<br />
persoonsgegevens correct worden bewaard, gebruikt<br />
en gedeeld. Hij of zij moet toezien dat de Europese en<br />
nationale regels inzake gegevensbescherming en de<br />
privacy en data protection policies van het <strong>bedrijf</strong> worden<br />
nageleefd. Daarnaast is de DPO het contactpunt voor<br />
de gegevensbeschermingsautoriteiten. Als <strong>jouw</strong> <strong>bedrijf</strong><br />
bijvoorbeeld te maken krijgt met een gegevenslek, is<br />
de DPO de contactpersoon voor de privacycommissie.<br />
De DPO informeert en adviseert <strong>je</strong> <strong>bedrijf</strong> ook omtrent<br />
de <strong>GDPR</strong>-verplichtingen en staat in voor het trainen van<br />
werknemers en het uitvoeren van eventuele audits.<br />
Tenslotte is het de DPO die antwoordt op alle vragen over<br />
de gegevensverwerking en de rechten van de betrokkenen<br />
van wie de gegevens verwerkt worden.<br />
WIE KAN DATA PROTECTION OFFICER WORDEN?<br />
In de <strong>GDPR</strong> wordt niet beschreven welke specificaties<br />
gelden voor een DPO. Er staat nergens welk diploma<br />
hij of zij moet hebben. De <strong>GDPR</strong> stelt wel dat de DPO<br />
moet beschikken over onder meer “deskundigheid op<br />
het gebied van de wetgeving en de praktijk inzake<br />
gegevensbescherming”. De Data Protection Officer hoeft<br />
bovendien niet per se een eigen werknemer te zijn. Ook<br />
experts van buiten <strong>jouw</strong> <strong>bedrijf</strong> kunnen de rol van DPO<br />
vervullen.<br />
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />
NUCLEUS Uptime-as-a-Service 6
IS JOUW CLOUD PROVIDER<br />
KLAAR VOOR <strong>GDPR</strong>?<br />
Een belangrijk en complex aspect van <strong>GDPR</strong> is dat<br />
<strong>je</strong> niet alleen moet zorgen dat <strong>je</strong> zelf <strong>compliant</strong><br />
bent, maar dat ook oplossingen en diensten die<br />
<strong>je</strong> gebruikt voor gegevensverwerking dat zijn. De<br />
eindverantwoordelijkheid wat betreft compliance ligt<br />
op dat vlak bij jou. Niet evident in een tijd waar heel<br />
wat van onze gegevens zich in de cloud bevinden.<br />
Welk <strong>bedrijf</strong> kan vandaag nog zeggen dat het niets<br />
in de cloud heeft staan of geen cloudtoepassingen<br />
gebruikt? Denk maar aan oplossingen als Microsoft Office<br />
365, Salesforce, SuccessFactors, Dropbox, Evernote,<br />
WeTransfer, enz. Heel wat van die toepassingen worden<br />
vaak bovendien oogluikend of zelfs zonder medeweten van<br />
IT gebruikt. De vraag is dus: kan <strong>je</strong> wel helemaal <strong>GDPR</strong><strong>compliant</strong><br />
zijn met zoveel tools – waarvan <strong>je</strong> van sommige<br />
niet eens weet dat ze gebruikt worden – in de cloud?<br />
Wij hebben alvast een aantal vereisten opgelijst om toch<br />
met cloud providers te kunnen blijven werken.<br />
De eerste vereiste is uiteraard aan <strong>je</strong> cloud provider vragen<br />
of hij <strong>GDPR</strong>-<strong>compliant</strong> is. Is dat het geval, heb <strong>je</strong> weinig<br />
zorgen. Maar toch zijn er een aantal vereisten waar <strong>je</strong> best<br />
ook aan voldoet.<br />
1. WEET WAAR JE CLOUD PROVIDER JE<br />
GEGEVENS VERWERKT EN BEWAART<br />
De eerste vereiste is meteen een hele belangrijke. Je moet<br />
weten waar <strong>je</strong> cloud provider <strong>jouw</strong> gegevens verwerkt<br />
en bewaart en welke wetgeving er op van toepassing is.<br />
Op elk moment. Want de kans is reëel – zeker bij grotere<br />
toepassingen – dat <strong>je</strong> gegevens al eens naar datacenters<br />
buiten Europa reizen.<br />
2. WEET HOE JE CLOUD PROVIDER JE GEGEVENS<br />
BEVEILIGT<br />
3. BEZORG JE CLOUD PROVIDER ALLEEN<br />
NOODZAKELIJKE GEGEVENS<br />
Verzamel alleen gegevens die <strong>je</strong> ook effectief<br />
gebruikt. Minimalisatie van gegevens is immers één<br />
van de beginselen van de <strong>GDPR</strong>. Let ook op met het<br />
verzamelen of verwerken van speciale gegevens, zoals<br />
gezondheidsgegevens, gerechtelijke gegevens enz. Voor<br />
deze gegevens gelden er nog strengere regels dan voor<br />
gewone persoonsgegevens.<br />
5. SLUIT VERWERKERSCONTRACTEN AF MET JE<br />
CLOUD PROVIDER<br />
Sluit een contract af met <strong>je</strong> cloud provider dat duidelijk<br />
aflijnt wat er kan op vlak van gegevensverwerking. De<br />
<strong>GDPR</strong> vermeldt een aantal bepalingen die <strong>je</strong> verplicht in<br />
<strong>jouw</strong> contract moet opnemen, bv. rond het gebruik van<br />
de gegevens, de vertrouwelijkheidsverplichting van het<br />
personeel van de cloud provider, enz.<br />
6. VERBIED JE CLOUD PROVIDER GEGEVENS<br />
VOOR ANDERE DOELEINDEN TE GEBRUIKEN<br />
Sta niet toe dat <strong>je</strong> cloud provider persoonsgegevens<br />
gebruikt voor andere doeleinden en zet dit duidelijk in <strong>je</strong><br />
verwerkerscontract. Controleer in de gebruiksvoorwaarden<br />
van de cloud provider of er vermeld wordt dat de klant<br />
eigenaar is van de gegevens en dat de cloud provider<br />
gegevens niet zal delen met andere parti<strong>je</strong>n of voor eigen<br />
doeleinden kan gebruiken.<br />
Het is duidelijk dat dit één van de moeilijkste aspecten<br />
zal worden op het vlak van <strong>GDPR</strong>-compliance met<br />
cloud providers. Er is een zeer groot aanbod aan<br />
cloudtoepassingen en de opkomst van ‘shadow IT’<br />
helpt ook niet. Heel wat cloud providers zijn bovendien<br />
internationale (lees: niet-Europese) spelers die niet staan<br />
te springen voor de strenge regelgeving van de <strong>GDPR</strong>.<br />
Lokale hosting van gegevens en lokale (lees: Europese)<br />
cloudtoepassingen zouden dus mogelijk een flinke boost<br />
kunnen krijgen eens de <strong>GDPR</strong> van kracht wordt.<br />
Daarnaast moet <strong>je</strong> ook weten hoe de cloud provider<br />
<strong>jouw</strong> gegevens zal beveiligen rekening houdend met de<br />
specifieke risico’s die met de business van <strong>jouw</strong> <strong>bedrijf</strong><br />
gepaard gaan. Vraag deze informatie op bij de cloud<br />
provider en neem deze informatie eventueel als een annex<br />
bij een verwerkerscontract op.<br />
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />
NUCLEUS Uptime-as-a-Service 7
MEER, MEER, MEER?<br />
IK SCHRIJF ME IN<br />
Dit ebook <strong>maak</strong>t deel uit van een reeks ebooks & blogs<br />
over hosting, cloud, business continuity, security en<br />
e-commerce die <strong>Nucleus</strong> uitbrengt.<br />
Wil <strong>je</strong> op de hoogte blijven van nieuwe blogposts of<br />
eBooks? Schrijf <strong>je</strong> dan nu in.<br />
Wij beloven plechtig dat we niet meer dan één update<br />
per week zullen sturen. Geen verpakte promotie, maar<br />
relevante en kwalitatieve inhoud.<br />
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />
NUCLEUS Uptime-as-a-Service 8
OVER ONS<br />
Wat er ook gebeurt, bij ons zijn <strong>je</strong> websites, applicaties en<br />
servers maximaal beschikbaar. Dat garanderen we. Onze<br />
focus ligt op hosting en alles wat daarbij komt kijken, zoals<br />
cloud, security, business continuity, managed services,<br />
DevOps, enz.<br />
We bestaan sinds 2000 en zijn intussen een absolute<br />
expert in hosting. Dankzij een gezonde groei en een<br />
verstandig beleid zijn we uitgegroeid tot een Belgische<br />
hosting-expert.<br />
Onze kracht zit in de expertise van een groeiend team van<br />
gedreven mensen. Dat zijn stuk voor stuk specialisten in<br />
hun vakgebied, die elkaar aanvullen en perfect als team<br />
functioneren.<br />
Wat ons anders <strong>maak</strong>t dan anderen? Onze eigenheid. We<br />
zijn helemaal onszelf op vijf verschillende manieren.<br />
CUSTOMER FIRST<br />
De klant staat bij ons centraal. Dat zegt toch elk <strong>bedrijf</strong>?<br />
Klopt, maar wij zetten het in de praktijk. De tevredenheid<br />
van onze klanten is onze grootste KPI.<br />
CONSULTANCY<br />
Adviseren zit in het DNA van onze organisatie:<br />
eerst luisteren, dan overleggen en daarna pas actie<br />
ondernemen.<br />
KWALITEIT<br />
Kwaliteit staat altijd voorop. In de diensten en oplossingen<br />
die we aanbieden, maar ook in de dienstverlening die erbij<br />
hoort.<br />
TRANSPARANTIE<br />
We geloven in open en eerlijke communicatie. Als alles op<br />
rollet<strong>je</strong>s loopt, maar ook als er iets mis gaat.<br />
GEEKS<br />
We zijn geeks en we zijn er trots op. We zijn dol op<br />
technologie. En pizza. En science fiction.<br />
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen<br />
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be<br />
NUCLEUS Uptime-as-a-Service 9