Wat is de GDPR/AVG?

GDPR staat voor General Data Protection Regulation en is heel kort geschetst de vernieuwde privacy wetgeving[i] rond de bescherming van persoonsgegevens, van toepassing op Europese burgers. In het Nederlands wordt dit ook de AVG of Algemene Verordening Gegevensbescherming genoemd.

De gegevensbescherming waarvan sprake, vereist:

  • passende, technische en organisatorische maatregelen die wij moeten nemen in de vorm van informatiebeveiliging (firewall, anti virus, anti phishing, etc.)
  • passende procedures zoals het verkrijgen van actieve toestemming van betrokkenen om hun gegevens te verwerken.

Deze wetgeving gaat in voege vanaf 25 mei 2018, vandaar dat wij u graag op voorhand informeren hoe wij daar vandaag al mee bezig zijn. Want simpelweg het opslaan van persoonsgegevens is reeds een verwerking. Dus wanneer wij van u als klant een mailinglist ontvangen (met namen, adressen of andere persoonsgegevens) dan zijn daar bepaalde regels aan verbonden. Die regels moeten wij intern duidelijk maken en iedereen binnen de organisatie dient er aan te voldoen.

Welke zijn de stappen die we ondernemen?

Initieel wordt er een dataregister of register van verwerkingsactiviteiten aangelegd. Dit (volgens artikel 30 verplichte) register houdt de grondslag en inhoud van de verwerking van persoonsgegevens in en slaat op zowel leveranciers, klanten als personeel en al hun persoonsgegevens die wij van of voor hen verwerken.

Wanneer wij dus voor u als klant persoonsgegevens verwerken, zullen we daar extra nadruk op leggen en de verwerking van deze gegevens in dit register opnemen. Bij deze verwerkingsgegevens horen de eigenaar van de data, doel, locatie, toegangen e.d. Een van de redenen hiervoor is dat we zelf inzicht moeten verkrijgen in de verschillende plaatsen waar en voor wie we welke persoonsgegevens bijhouden.

Een EU burger heeft namelijk een aantal rechten waarop hij zich kan beroepen, zoals het recht op inzage, het recht op wijzigen of verwijderen van zijn of haar persoonsgegevens, maar evengoed het recht op overdracht naar derden (artikel 20).

Om die reden moeten we te allen tijde weten waar deze gegevens zich bevinden.

Hoe komt u meer te weten?

Bijkomend, en dat is voor Graphius niet verplicht, stellen we een gecertificeerd functionaris voor gegevensbescherming aan, in het vakjargon een DPO (Data Protection Officer). Die zal instaan voor de regelmatige controle op de toepassing van deze wetgeving, het voorzien van de nodige procedures en het beantwoorden van interne- en externe vragen betreffende de GDPR.

U kunt onze DPO (Hendrik Van Haele) bereiken via dpo@graphius.com.

[i] https://www.privacycommission.be/nl/algemene-verordening-gegevensbescherming-0