• Lorem ipsum

 

 

 

 

 

 

 

 

 

GDPR AUDIT

 

Versie 1.0

07/11/2019

Door Mr. Olivier Sustronck

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

OPTIEK DOBBELAERE

Besloten Vennootschap met Beperkte Aansprakelijkheid

BTW BE0809.278.225

Markt 23

8610 Kortemark

www.optiekdobbelaere.be

 

 

De Algemene Verordening Gegevensbescherming (GDPR) 

 

Na jarenlang lobbywerk is de Algemene Verordening Gegevensbescherming (hierna GDPR) aangenomen op 27 april 2016. De nieuwe regeling is meer dan welkom, daar de Privacyrichtlijn al dateert van 1995 en voor een groot deel was achterhaald door de nieuwe technologieën. 

 

De GDPR zorgt niet voor een fundamentele wijziging van de bekende principes, maar is eerder een aanscherping en actualisering van de oorspronkelijke regels naar de internetomgeving en het omzetten in wettekst van de richtlijnen van de ‘Working Party 29’ en rechtspraak van het Hof van Justitie.

 

Ondanks dat de basisprincipes van de wetgeving grotendeels dezelfde blijven, zal de impact van de GDPR op de bedrijfswereld groot zijn. Zo legt de GDPR op aan iedere onderneming om bewust om te gaan met persoonsgegevens. Iedere onderneming moet bijhouden op welke manier zij persoonsgegevens bewaart, welke persoonsgegevens zij bewaart, om welke reden, hoelang, hoe zij die persoonsgegevens beveiligt en dergelijke meer. Zo moet een verwerkingsregister worden bijgehouden en moet aan verschillende informatieverplichtingen worden voldaan ten aanzien van de betrokkenen. Tevens moeten ondernemingen datalekken registreren en gebeurlijk aangifte hiervan doen bij de GBA of de betrokkenen zelf. Daarnaast krijgen de betrokkenen veel meer controle over de persoonsgegevens die van hen verwerkt worden. Zo kunnen betrokkenen bij eenvoudig verzoek de wijziging, verwijdering of overplaatsing van persoonsgegevens vragen, of zich verzetten tegen direct marketing of profiling. 

 

De straffeloosheid die voornamelijk geldt bij de Privacywet, zorgde ervoor dat de wet veelal niet of onvoldoende werd toegepast. De verhoogde aandacht voor het bewust omgaan met privacy in onze maatschappij en de mogelijkheden voor de toezichthoudende autoriteiten om sancties op te leggen, zoals zware boetes, zouden de striktere toepassing van de GDPR ten goede moeten komen. Dit heeft tot gevolg dat veel ondernemingen die thans geen of een eerder beperkt privacybeleid voeren, verplicht worden de nodige inspanningen te doen. 

 

De GDPR is in werking getreden op 25 mei 2018. Ze is automatisch en rechtstreeks van toepassing in alle landen van de EU. De Belgische implementatiewet die een aanvulling is op de GDPR werd goedgekeurd op 30 juli 2018, is in werking getreden op 5 september 2018.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

GDPR in uw onderneming 

 

De GDPR breidt de verplichtingen voor bedrijven en de rechten voor datasubjecten aanzienlijk uit.   

 

Een van de voornaamste verplichtingen is het uitvoeren van een GDPR Audit, een risico audit binnen je bedrijf waarbij in kaart wordt gebracht welke data je gebruikt, waar die zich bevindt, wie er toegang toe heeft en waar de potentiële risico’s op verlies of diefstal zich bevinden.    

 

Er zijn nog een aantal belangrijke verplichtingen. Zo zal elk schriftelijk contract met een leverancier garanties moeten bevatten dat ook zij GDPR compliant zijn. Omgekeerd zullen jouw contractspartners verplicht zijn om van jou garanties te vragen inzake GDPR compliancy, meteen een goede reden om zelf tijdig aan de slag te gaan.  

 

Daarnaast voorziet de GDPR onder andere in een verplichte meldplicht voor datalekken, verstrengde regels rond het verzamelen van data en het verplicht aanstellen van een Data Protection Officer voor bedrijven van een bepaalde omvang.  Deze verplichtingen vereisen het nodige werk van jouw bedrijf en worden het best structureel aangepakt.   

 

Wie de GDPR overtreedt, riskeert boetes die kunnen oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet. Dat is echter niet het enige. Indien data verloren gaat bij een bedrijf dat niet GDPR compliant is zal de verzekeraar weigeren de ontstane schade te dekken. Het meest directe gevolg van non-compliance is echter zonder twijfel het feit dat heel wat bedrijven niet meer met jou zullen willen of kunnen werken.  De verplichting onder GDPR om enkel te werken met “veilige” contractspartner, die garanderen dat ze GDPR compliant zijn, zal immers heel wat bedrijven dwingen om zich in regel te stellen om geen klanten of partners te verliezen. 

 

 

GDPR Audit

 

De GDPR Audit is het document dat een impactanalyse maakt van de persoonsgegevens die u in uw onderneming verwerkt en van uw beveiliging van deze persoonsgegevens. Hierbij dient de onderneming aan de hand van vragen haar beleid te verantwoorden en kunnen aandachtspunten aan het licht komen die al dan niet dringend dienen aangepakt te worden. Het is dan ook van het grootste belang dat het document enerzijds waarheidsgetrouw ingevuld wordt. Daarnaast dient er aandacht geschonken te worden aan de aandachtspunten en dienen zoveel mogelijk punten weggewerkt te worden. Ten slotte dient dit assessment zich op regelmatige basis te herhalen. 

 

Het is de verantwoordelijk van de verwerkingsverantwoordelijke om aan alle verplichtingen van de GDPR te voldoen. De data protection officer is een adviesorgaan dat de onderneming adviseert rond informatieveiligheid en de wetgeving rond de GDPR. De data protection officer heeft echter geen resultaatsverbintenis en kan geenszins aansprakelijk gehouden worden voor niet conformiteit aan de GDPR. 

 

 

 

 

Wettelijk kader 

 

Art. 35 Gegevensbeschermingseffectbeoordeling (DPIA)  

 

  1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden. 

 

  1. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in. 

 

 

  1. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen: 

 

  1. a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; 
  2. b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of 
  3. c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. 

 

  1. De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Comité. 

 

  1. De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen gegevensbeschermingseffectbeoordeling is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan het Comité. 

 

 

  1. Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in artikel 63 bedoelde coherentiemechanisme toe. 

 

  1. De beoordeling bevat ten minste: 
  2. a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd; 
  3. b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; 
  4. c) een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen; en 
  5. d) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie. 

 

  1. Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen. 

 

  1. De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of algemene belangen of de beveiliging van verwerkingen. 

 

  1. Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 7 niet van toepassing, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren. 

 

  1. Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden. 

 

 

Art. 36 Voorafgaande raadpleging  

 

  1. Wanneer uit een gegevensbeschermingseffectbeoordeling krachtens artikel 35 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit. 

 

  1. Wanneer de toezichthoudende autoriteit van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft de toezichthoudende autoriteit binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag zij al haar in artikel 58 bedoelde bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Bij een dergelijke verlenging stelt de toezichthoudende autoriteit de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van onder meer de redenen voor de vertraging. Die termijnen kunnen worden opgeschort totdat de toezichthoudende autoriteit informatie heeft verkregen waarom zij met het oog op de raadpleging heeft verzocht. 

 

  1. Wanneer de verwerkingsverantwoordelijke de toezichthoudende autoriteit uit hoofde van lid 1 raadpleegt, verstrekt hij haar informatie over: 
  2. a) indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, bij de verwerking betrokken gezamenlijke verwerkingsverantwoordelijken en verwerkers, in het bijzonder voor verwerking binnen een concern; 
  3. b) de doeleinden en de middelen van de voorgenomen verwerking; 
  4. c) de maatregelen en waarborgen die worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van deze verordening; 
  5. d) indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming; 
  6. e) de gegevensbeschermingseffectbeoordeling waarin bij artikel 35 is voorzien; en 
  7. f) alle andere informatie waar de toezichthoudende autoriteit om verzoekt. 

 

  1. De lidstaten raadplegen de toezichthoudende autoriteit bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel, of een daarop gebaseerde regelgevingsmaatregel in verband met verwerking. 

 

  1. Niettegenstaande lid 1 kunnen de verwerkingsverantwoordelijken lidstaatrechtelijk ertoe worden verplicht overleg met de toezichthoudende autoriteit te plegen en om haar voorafgaande toestemming te verzoeken wanneer zij met het oog op de vervulling van een taak van algemeen belang verwerken, onder meer wanneer verwerking verband houdt met sociale bescherming en volksgezondheid. 

 

 

Methodologie van het Risk Assessment: 

 

Het risk assessment houdt, om een risico in te schatten rekening met de waarschijnlijkheid dat een event zich voordoet, ten opzichte van de impact die het event zou hebben indien het zich voordoet. Hij de impact wordt zowel rekening gehouden met de impact op de betrokkene als met de impact op de onderneming mocht het risico zich voordoen.  

 

Zowel de waarschijnlijkheid als de impact worden beoordeeld op een numerieke schaal van één tot vijf, waarbij één een laag risico inhoudt en vijf een kritiek risico. Door beide getallen met elkaar te vermenigvuldigen wordt het totale risico voor een event bepaald. 

 

WAARSCHIJNLIJKHEID van een risico (W)

Level 

Beschrijving 

Bijna zeker 

Zeer waarschijnlijk 

Waarschijnlijk 

Onwaarschijnlijk 

Uitzonderlijk 

 

 

 

 

 

IMPACT van een risico (I)

Level 

Beschrijving 

Kritiek 

Groot 

Gemiddeld 

Klein 

Verwaarloosbaar 

 

 

 

TOTAAL RISICO  

Level 

Beschrijving 

9-10 

Kritiek 

7-8 

Hoog 

5-6 

Gemiddeld 

2-4 

Laag 

 

  

 

 Evaluatie van de risico’s: 

 

Het doel van risico-evaluatie is om te beslissen welke risico’s aanvaardbaar zijn en welke behandeld moeten worden.  

 

De matrix hierboven toont de classificatie van risico’s, waarbij groen aangeeft dat het risico zich onder de aanvaardbare drempel bevindt. De geel, oranje en rode vakken geven over het algemeen aan dat een risico niet voldoet aan de aanvaardingscriteria en bijgevolg best aangepakt wordt, waarbij u kan beslissen om het risico te elimineren, het te verminderen of het te aanvaarden zoals het vandaag is. 

 

Er wordt best prioriteit gegeven aan de behandeling van de risico’s in overeenstemming met hun puntentotaal en classificatie zodat zeer hoog scorende risico’s de aanbeveling krijgen om eerder aangepakt te worden dan deze met lagere niveaus van blootstelling voor de organisatie.  

Deze risicobeoordeling zal op regelmatige basis geëvalueerd moeten worden om te verzekeren dat zij actueel blijft. De relevante risicobeoordeling zal ook geëvalueerd moeten worden bij grote veranderingen in het bedrijf zoals verhuizing van kantoren, fusies en overnames of de introductie van nieuwe of gewijzigde IT-diensten.  

 

 

RISICOBEOORDELING

Wat betreft de groene risico beoordelingen voldoet de onderneming aan de GDPR wetgeving en aan een goede databescherming. Op dit punt hoeven geen stappen ondernomen te worden.

De gele risicobeoordelingen wijzen op een mogelijk risico. Deze punten kunnen best bekeken worden en er dient een manier gezocht worden om de werking met betrekking tot dat punt in de onderneming aan te passen, bij te stellen of er dient geëvalueerd te worden of hetzelfde doel niet bereikt kan worden op een andere manier.

De oranje risicobeoordeling wijst op een reëel risico of een inbreuk op de GDPR met een danige impact en kan het best aangepakt worden tegen de volgende periodieke evaluatie en bekeken worden op welke manier het risico kan verminderd worden.

De rode risicobeoordeling wijst op een hoog risico of zware inbreuk op de GDPR en dient zo snel mogelijk aangepakt te worden.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                           

GDPR AUDIT

 

 

Risico inschatting

 

 

Deel I. Organisatie onderneming en intern privacybeleid

 

 

1.      Organisatie van de onderneming:

 

Beschrijving van de onderneming (activiteiten van de onderneming):

Optieker, verkoop van brillen, horloges en accessoires

Webshop en fysieke winkel

 

Heeft de onderneming verschillende vestigingen in België?

De winkel is gelegen in Kortemark, Markt 23

 

Heeft de onderneming verschillende vestigingen in het buitenland?

neen

 

Maakt de onderneming deel uit van een concern?

neen

 

 

 

 

2.      Management

 

Wie is de verwerkingsverantwoordelijke in de onderneming?

Laurence Dobbelaere (zaakvoerder van de onderneming)

 

Is het management bewust van privacy en het belang van de GDPR?

Ja

 

Welke stappen werden reeds ondernomen in het kader van de GDPR?

Nog geen stappen

 

 

 

3.        Is er een Data Protection Officer aangesteld in de onderneming?

 

Neen

Op dit moment is het niet verplicht een DPO aan te stellen voor de onderneming.

 

 

Tip Een DPO kan zowel een intern als een extern persoon zijn en dient onafhankelijk te zijn. Daardoor heeft een interne DPO een ontslagbeperking. Een DPO dient hiervoor te zijn opgeleid.

 

 

4.    Personeelsbeleid (documentatie):

 

Hoeveel werknemers zijn er werkzaam in de onderneming?

Geen

 

 

 

 

5.       Welke softwarepakketten worden gebruikt voor het verwerken van persoonsgegevens?

 

Microsoft Office (US – Privacy Shield), Microsoft Inc, One Microsoft Way, Redmond Washington 98052; [email protected]

https://privacy.microsoft.com/nl-nl/privacystatement

 

Morion (cloudsoftware voor optiekers) van Corilus, klantenbeheer

 

Lightspeed: webshop, online platform

 

Sociale Media kanalen: Facebook, Instagram, Pintrest

 

Mailchimp (US – Privacy Shield)

 

 

Wie heeft toegang tot deze softwarepaketten?

Zaakvoerder

 

 

 

6.       Beschikt de onderneming over een centraal overzicht van alle bestaande databases/klantenlijsten binnen de organisatie?

 

Ja via Morion

 

Tip: Er dient opgepast te worden met het aanmaken en bewaren van excel bestanden. Deze gegevens zijn niet gestructureerd maar kunnen veel persoonsgegevens bevatten. Bijvoorbeeld bij een verzoek tot wissen van een persoon kan het erg moeilijk worden om deze bestanden telkens te doorzoeken om er zeker van te zijn dat ze geen gegevens van deze persoon bevatten.

 

 

 

 

DEEL II. BEHEER DATALEKKEN

 

 

 

7.         Is er in de onderneming een procedure voor datalekken opgesteld?

 

Nog niet

Zal opgemaakt worden

 

8.         Wordt er (strikt) een register van datalekken bijgehouden?

 

Dient te gebeuren vanaf 25 mei 2018

 

Tip: Vul zo veel mogelijk veiligheidsincidenten en datalekken bij in het register. Er is reeds sprake van een datalek dat dient genoteerd te worden zodra er informatie toegankelijk is voor een onbevoegd persoon. Hieronder dient begrepen een hacking maar ook het verkeerdelijk sturen van een e-mail naar de verkeerde persoon, het verliezen van een USB stick met persoonsgegevens, het vinden van een virus door de virusscanner,…

 

Tip: Om datalekken met e-mails te ontdekken wordt best een disclaimer toegevoegd aan de e-mail als volgt:

 

Dit emailbericht is strikt vertrouwelijk. Indien het een verkeerde bestemmeling zou bereiken, verzoeken wij u ons daarvan onmiddellijk te verwittigen door ons het bericht terug te sturen via reply. Gelieve het bericht daarna te wissen en dit niet te lezen of kenbaar te maken aan derden. Klik hier (link naar PP toevoegen) om het privacybeleid van de onderneming te vinden.

 

 

9.      Werd, wanneer het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen, steeds de Privacycommissie verwittigd binnen de 72 uur?

 

Dient te gebeuren

 

 

10.  Werden de betrokkenen telkens ingelicht indien het datalek een ernstige risico inhoudt voor de rechten en de plichten van de betrokkenen?

 

Dient te gebeuren

 

 

 

 

DEEL III. VERWERKING PERSOONSGEGEVENS

 

 

11.  Welke persoonsgegevens worden verwerkt in de onderneming?

 

Personeelsgegevens:

 

Geen

 

 

Activiteiten onderneming

 

Klanten:

Consumenten

Naam, adres, telefoonnumer, rijksregisternummer, email, gegevens oogtest, aankopen, geslacht, geboortedatum en mutualitiet (bericht)

 

Bestelgeschiedenis, betaalgegevens

 

Gegevens nodig voor mutualiteit:  sterkte ogen en wat gekocht,

Scan identiteitskaart, niet nodig voor mutualiteit

 

Lens Online platform: adres, geboortedatum, email, gsm telefoonnummer, bestelling

Kunnen kiezen soms zelf ingeven of vanuit optiek, altijd op naam van de client

 

Laperre gehoorapparaten: bestelgegevens, leveringsgegevens

 

Leveranciers:

Facturatiegegevens

contactgegevens

 

Marketing:

 

Direct mailing: naar bestaande klanten via Mailchimp: naam en e-mailadres, statistieken met betrekking tot de mailing

 

Beurzen/evenementen: Kortemark Verwent: mogelijkheid voor geinteresseerden om een briefje in te vullen

 

Sociale media profielen: Facebook, Instagram, Pinterest, Messenger

 

 

12.  Verwerkingsverantwoordelijke of verwerker?

 

A.     Als verwerkingsverantwoordelijke:

 

-          Klanten

-          Leveranciers

 

B.     Als verwerker:

 

Neen

 

C.      Mede-verwerkingsverantwoordelijken:

 

Lens-Online

Laperre

 

Zij zijn mede-verwerkingsverantwoordelijke indien zij instaan voor de rechtstreekse levering aan de klant.

 

 

 

13.  Is er sprake van verwerking van bijzondere persoonsgegevens?

 

Ras

Politieke

Religieuze/filosofische

Vakbond

Genetische

Gezondheid

Sexuele geaardheid

Strafrechtelijke gegevens

 

Gezondheidsgegevens: gegevens met betrekking tot de ogen

 

 

14.  Is er sprake van verwerking van gegevens met een verhoogd risico?

 

Neen

 

 

 

15.  Worden biometrische gegevens verwerkt?

 

neen

 

 

16.  Is er sprake van verwerking van unieke identificatiegegevens of rijksregisternummer?

 

Rijksregisternummer

 

Het rijksregisternummer mag enkel verwerkt worden wanneer hier een wettelijke reden voor is of een bijzondere toestemming. Het gebruiken van een rijksregisternummer als klantennummer is niet toegestaan en werd in België reeds met een boete bestraft.

 

Enkel indien het noodzakelijk is voor de mutualiteit of om een andere wettelijke reden om het rijksregisternummer te verwerken mag dit effectief ook opgevraagd en gebruikt worden

 

 

 

 

17.  Wordt er een zwarte lijst bijgehouden of aangelegd van klanten/leveranciers (slechte betalers, kredietonderzoek,…)

 

neen

 

 

 

 

 

18.  Worden er locatiegegevens bijgehouden?

 

neen

 

 

19.  Bij een van bovenstaande Ja: Kan het doel met andere gegevens worden bereikt die een verminderd risico op misbruik met zich meebrengen?

 

Neen, de onderneming doet aan dataminimalisatie

 

 

 

20.  Verwerkt de onderneming  gegevens over kwetsbare groepen of personen?

 

neen

 

 

 

21.  Hebben de gegevens betrekking op de gehele of grote delen van de bevolking?

 

neen

 

 

 

 

22.    Beschikt de onderneming over een register van verwerkingsactiviteiten?

 

Zal opgemaakt worden

 

 

 

23.    Is er telkens per (categorie van) persoonsgegeven een rechtsgrond bepaald?

 

Zal gebeuren

 

 

 

 

24.    Is het duidelijk dat de onderneming gegevens verzamelt op grondslag van toestemming of op basis van een andere grondslag?

 

Toestemming op website (cookies/privacy policy)

 

Voor cookies die verder gaan dan pure analytics dient alleszins toestemming gevraagd worden.

Analytics cookies mogen enkel indien zij privacy vriendelijk werden ingesteld

 

 

Toestemming voor de marketingdoeleinden (nieuwsbrief)

 

Bij het aanmaken van een profiel op de website of bij inschrijving voor een nieuwsbrief moet uitdrukkelijk toestemming gevraagd worden, door middel van een aanklikbaar vakje op de website waarbij uitgelegd wordt waarvoor toestemming gegeven wordt en met een link naar de uitgebreide privacy policy.

 

Tip: Link voorzien op website waarin de bezoeker moet aangeven dat hij de privacy policy gelezen heeft en akkoord is om de nieuwsbrief te ontvangen, bij aanmelden voor de nieuwsbrief

 

 

 

 

 

25.    Heeft de betrokkene ten allen tijde de mogelijkheid om zijn toestemming in te trekken?

 

Ja, moet voorzien zijn

Mailchimp heeft hier aandacht voor

 

 

 

 

26.    Is de kwaliteit van de gegevens gewaarborgd, zijn de gegevens actueel, juist en volledig?

 

Ja, veel aandacht voor in de onderneming

 

 

27.    Is er een bewaartermijn voor de gegevens vastgelegd?

 

Neen, vooralsnog worden de gegevens bewaard zonder bewaartermijn

 

De GDPR voorziet dat er een bewaartermijn moet bestaan voor de gegevens. U kan gegevens bijhouden voor een wettelijke reden (boekhouding 7 jaar, aansprakelijkheid 10 jaar,…). Maar eens gegevens niet meer nodig zijn moeten ze gewist worden.

 

Er mogen aldus niet meer gegevens verwerkt worden dan nodig.

 

 

 

 

28.    Worden op basis van de gegevens geautomatiseerde beslissingen genomen?

 

neen

 

 

 

29.    Worden gegevens van minderjarigen verzameld?

 

Is mogelijk wanneer er een aankoop gebeurt voor een minderjarige

 

De ouder is steeds aanwezig

 

 

Tip: Best worden niet meer gegevens verwerkt dan nodig. Voor het verwerken van persoonsgegevens van kinderen minder dan 13 jaar moet vooraf uitdrukkelijke toestemming gevraagd worden aan de ouder.

 

 

 

30.    Zijn alle gegevens nodig om het doel te bereiken (worden zo min mogelijk gegevens verzameld?)

 

Ja, de onderneming doet aan dataminimalisatie

 

 

 

31.    Worden persoonsgegevens in een (publieke) cloud opgeslagen?

 

Neen

 

32.    Koop de onderneming persoonsgegevens aan van derde partijen?

 

neen

 

 

 

 

33.    Verkoopt de onderneming persoonsgegevens aan derde partijen?

 

neen

 

 

 

 

 

 

 

DEEL IV. VERWERKERS EN DERDE PARTIJEN

 

34.     Werd voorafgaandelijk aan het aangaan van een overeenkomst met een verwerker een vendor assessment opgemaakt waaruit blijkt dat de verwerker voldoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen met het oog op de GDPR?

 

Dient te gebeuren vanaf 25 mei 2018

 

Tip Bij de keuze van een nieuwe verwerker dient eveneens rekening gehouden te worden met de privacyvoorzieningen van de verwerker of van het product, naast de kwaliteit van het product en de prijs. Naar bewijsmogelijkheid wordt hiervan best een dossier bijgehouden of een rapport opgemaakt

 

 

 

35.     Lijst hieronder alle verwerkers op met hun specifieke taak in de onderneming + geef aan of er een verwerkersovereenkomst werd afgesloten met deze verwerker

 

Boekhouder: Raadhuis

 

Liantis, sociale bijdragen

 

Website: Lightspeed -> een verwerkersovereenkomst werd bezorgd

 

Software:

-          Corilus (Morion) -> een verwerkersovereenkomst werd bezorgd

-          Microsoft

-          Mailchimp

 

Telefonie/internetprovider:

 

Verzekeringsmaatschappij:

 

Bank:

 

Ingenico: online betaling

 

Bpost: levering pakketjes

 

Marketingtools:

Mailchimp

Sociale media als Facebook (Facebook, Messenger en Instagram), Pinterest en Google

 

Een modelcontract zal bezorgd worden

 

 

36.     Werd met niet-verwerkers die toegang hebben tot de gebouwen een vertrouwelijkheidsovereenkomst afgesloten?

 

Schoonmaakbedrijf: neen

 

Klusjesman / aannemer: neen

 

Een document zal bezorgd worden

 

 

Risico

W

I

 

 

 

37.     Worden gevoelige gegevens of gegevens met een verhoogd risico verwerkt door de verwerkers?

 

neen

 

 

 

 

38.     Treedt de onderneming op als verwerker voor andere verwerkingsverantwoordelijken?

 

neen

 

 

 

 

 

39.  Worden er persoonsgegevens doorgegeven aan derde landen (buiten de EU)?

 

Mailchimp (is opgenomen op Privacy Shield)

 

 

 

DEEL V. BETROKKENEN

 

40.  Website onderneming

 

Bevat de website een privacy policy?

Ja, de website bevat een privacy policy. Deze is vanop iedere pagina aanklikbaar via de footer van de website. Niet alle verplichte vermeldingen zijn opgenomen. Er zal een aangepaste versie bezorgd worden

 

Tip: Het is belangrijk dat de privacy policy op de website staat en vanop iedere pagina aanklikbaar is. Best wordt deze aan de header of footer toegevoegd. Hij dient in iedere taal waarin de website is opgemaakt te worden opgenomen.

 

Bevat de website een cookie policy?

 

Ja, er is een cookie policy. Er is een lijst opgenomen van de cookies. In de lijst ontbreekt de geldigheidsdatum van de cookie.

 

Er wordt geen toestemming gevraagd voor het plaatsen van de cookies. Er is een banner voorzien op de website die stelt dat de gebruiker door te surfen op de website toestemming verleend voor de cookies. Dergelijke toestemming is niet geldig overeenkomstig de GDPR. Toestemming moet steeds actief gegeven worden.

 

In de strenge strekking dient steeds toestemming gevraagd worden voor analytics cookies en retargetting cookies. Dit is nu niet het geval.

 

Een mildere strekking (Franse Privacy Autoriteit CNIL) laat het toe om analytics cookies te plaatsen zonder toestemming indien deze privacy vriendelijk zijn ingesteld. Er wordt een handleiding bezorgd om cookies privacy vriendelijk in te stellen.

 

In de cookie policy is thans opgenomen dat de retargetting cookies geen persoonsgegevens verwerken. Indien dit het geval is dient overeenkomstig de GDPR geen toestemming gevraagd te worden.

 

Welke cookies worden verwerkt?

 

Lijst is opgenomen in de cookie policy

 

 

41.  Bevatten de contracten met klanten en leveranciers clausules in het kader van de GDPR?

 

Neen, thans nog niet

Algemene voorwaarden worden aangepast

 

42.  Is er een procedure voorzien om tijdig en correct te voldoen aan de verzoeken van de betrokkenen die hun rechten uitoefenen?

 

Ja, dit zal handmatig gebeuren, geval per geval

 

Tip Een verzoek dient telkens binnen de maand beantwoord te worden. Indien het niet mogelijk is te voldoen aan het verzoek binnen de maand, dient binnen de maand gemotiveerd kennis gegeven worden aan de verzoeker van een uitstel (van maximaal 3 maand in totaal)

 

Tip Er dient echter aandacht voor te zijn dat personeelsleden telkens de identiteit van een persoon controleren alvorens informatie te verstrekken. Enkel de betrokkene zelf kan zijn persoonsgegevens opvragen.

 

 

43.  Worden de verwerkers eveneens op de hoogte gebracht indien betrokkenen hun rechten uitoefenen op data die door deze verwerkers verwerkt wordt?

 

Dient te gebeuren, bijvoorbeeld bij vraag tot wissen, dat ook bij de verwerkers de gegevens gewist worden indien dit nodig is

 

 

 

 

 

DEEL VI. VEILIGHEIDSBELEID

 

44.          Is er een intern veiligheidsbeleid opgesteld (IT-beleid) binnen de onderneming?

 

Geen formeel document opgemaakt rond IT veiligheid

Daar er geen personeelsleden in de onderneming werken is de noodzaak tot dergelijk document veel lager

 

 

45.  Is er in het verleden reeds een risico-analyse uitgevoerd op de informatica-omgeving of heeft uw onderneming een beveiligingscertificaat (ISO 27000)?

 

Neen

De gebruikte software is daarentegen wel voldoende beveiligd en getest

 

 

 

 

 

46.      Beschrijf het aanmeldingsproces binnen de onderneming van bezoekers/klanten/leveranciers

 

Er is een fysieke winkel

 

 

 

 

Risico

W

I

 

 

 

47.  Is er een wachtwoordbeleid binnen de onderneming?

 

Neen

Het is belangrijk steeds goede wachtwoorden te gebruiken

 

Wordt hierop toegezien?

 

 

Tip: Iedere PC dient afgesloten te zijn wanneer een medewerker zijn bureau verlaat en enkel via een login met wachtwoord te ontgrendelen. Het is eveneens geen goed idee om wachtwoorden of accounts te delen.

Tip:

Indien wachtwoorden bijgehouden worden moet dit document minstens beveiligd of geëncrypteerd zijn en enkel toegankelijk voor een beperkte hoeveelheid personen

 

Tip: Two-factor-authentication waar mogelijk steeds aan te raden. Iedereen dient een eigen account te hebben waar mogelijk. Steeds veilige wachtwoorden gebruiken is ten zeerste aan te raden.

 

Tip: Een sterk wachtwoord is een wachtwoord bestaande uit minimaal 8 karakters met minimum 1 hoofdletter, 2 cijfers en 1 speciaal teken. Om dergelijke wachtwoorden samen te stellen en te onthouden kan bijvoorbeeld gebruik gemaakt worden van een wachtwoordzin zoals ‘Ik koop elke 2 weken bloemen voor mijn vrouw!’. Door telkens de eerste letter van het woord te nemen, samen met de eerste twee letters van de software die gebruikt wordt. Bij een Dropbox-login zou dit ‘Ike2wbvmv!Dr’ zijn. Op die manier wordt een sterk wachtwoord gemaakt voor iedere verschillende account dat toch te onthouden is.

 

 

 

48.  Is er een e-mailbeleid in de onderneming?

 

Neen

 

 

Tip:

Bij voorkeur worden de e-mails (zeker deze met een bijlage die veel persoonsgegevens bevat) onmiddellijk gewist. Indien dit om bewijsredenen niet mogelijk is, kan u best de e-mails klassificeren in mappen en op die manier de bewaartermijnen beter beheren.

 

 

 

49.    Beschikt de onderneming over een voldoende beveiligingsysteem van haar informaticasystemen, e-mails, archieven en andere administratiesystemen in de vorm van antivirus, firewall, anti-malware, geregelde intrusietesten, een abonnement op vulnerability en virus warnings?

 

Virusscanner:

 

Malware:

 

Firewall:

 

Na te kijken

 

 

 

 

50.    Wordt er encryptie toegepast? Maakt de onderneming gebruik van beveiligingscertificaten (bijv. van de eigen website), van e-signatures of e-seals?

 

 

Geëncrypteerde verzenden van gegevens:

 

VPN voor doorzenden gegevens in de cloud

 

E-mail niet

 

SSL-certificaat op website is aanwezig (https)

 

Tip: Dergelijk ‘https’-adres voor de website wordt aangeraden. Enerzijds voor de veiligheid van de gegevens die doorgegevens worden, bijvoorbeeld via het contactformulier. Maar ook omdat Google bij zoekresultaten dergelijke websites lager zal rangschikken en browsers foutmeldingen tonen of zelfs de website niet meer willen weergeven zonder SSL-certificaat. De kost van dergelijk certificaat is daarenboven beperkt.

 

 

 

 

51.    Wordt er in de onderneming gebruik gemaakt van wifi?

 

Indien een gastenwifi wordt aangemaakt voor klanten dient dit een afgescheiden wifi zijn met een eigen wachtwoord

 

52.    Heeft uw onderneming een webshop?

 

Ja

 

Indien ja, welke betaalmodules zijn daarop geïmplementeerd?


Ingenico

 

 

 

53.  Is er een server aanwezig?

 

Neen, via cloud

 

54.  Worden de updates stipt uitgevoerd van de software?

 

Dient te gebeuren!

 

 

55.  Wat gebeurt er met oude hardware die vervangen worden?

 

De harde schijf dient vernietigd te worden

 

56.  Wat zijn de fysieke veiligheidsvoorzieningen in het bedrijfsgebouw?

 

Is er een toegangsbeperking tot bepaalde ruimtes?

Het is een fysieke winkel die enkel toegankelijk is tijdens de openingsuren

 

Er is een alarm aanwezig

 

 

57.  Werden de beveiligingscamera’s gemeld bij de politie en hangen de nodige indicaties aan de ingangen op een zichtbare plaats?

 

Neen

 

 

 

DEEL VII. MARKETING

 

58.  Beschrijf een typische marketingcampagne van de onderneming:

 

Naar bestaande klanten wordt soms een nieuwsbrief gestuurd

Via Mailchimp

Er is steeds een mogelijkheid voorzien om uit te schrijven

Er is geen toestemming voor gevraagd maar aangezien het bestaande klanten zijn kan dit op de rechtsgrond van het gerechtvaardigd belang gebeuren.

 

Op het contactformulier van de website en de registratiepagina kan best gevraagd worden via een aanvinkbaar hokje om te bevestigen dat de gebruiker de privacy policy gelezen heeft

 

Tip: Aan prospecten moet wel toestemming gevraagd worden alvorens een e-mail te kunnen sturen

 

 

Sociale media pagina op Facebook, Instagram en Pinterest

 

Op evenementen kunnen personen hun gegevens achterlaten

Best kan op dit formulier ook uitdrukkelijk toestemming gevraagd worden om de persoon te mogen contacteren.

 

 

59.  Worden er meer gegevens verzameld dan noodzakelijk is om de marketingcampagne uit te voeren?

 

Neen, e-mail en naam

 

60.  Koop je soms mailinglijsten aan?

 

neen

 

 

 

61.  Hebben betrokkenen steeds de mogelijkheid om hun opt-out uit te oefenen op een eenvoudige manier?

 

Ja, voorzien via Mailchimp

 

 

 

62.  Worden de rechten van de betrokkene gerespecteerd indien zij out-outen of hun recht van bezwaar uitoefenen om betrokken te worden bij direct marketingcampagnes, profiling of geautomatiseerde beslissingen?

 

Ja, automatisch via Mailchimp

 

 

63.  Worden de betrokkenen voldoende geïnformeerd met betrekking tot de direct marketing, profiling en/of geautomatiseerde beslissingen die worden genomen met hun (gedrags)gegevens?

 

Via de privacy policy