GDPR dossier: wat doen wij met uw data?

Algemeen
donderdag, 19 april, 2018
ESC - IT empowering business - GDPR dossier

We leven in een informatietijdperk waarin data het nieuwe goud is, zo lijkt het wel. De handel in onze gegevens is big business geworden. Die bewustwording maakt ons allemaal wat ongerust. De GDPR-regelgeving moet daar een einde aan stellen. En daarmee is de kous af?

‘Wie boter op het hoofd heeft, moet niet in de zon lopen.’

Iedereen is een gebruiker en begrijpt dat er beter moet worden omgesprongen met persoonlijke gegevens. Het probleem is echter dat data een onmisbaar goed is geworden voor uw bedrijfsproces. Het is daarom van cruciaal belang dat u als organisatie weet wat er van u wordt verwacht en welke verantwoordelijkheid u draagt.Tijd om een onderscheid te maken tussen de verschillende rollen.

Wat is een data controller?

Een data controller is een centraal figuur die instaat voor de bescherming van de rechten van een ‘data subject’ (alias: de gebruiker). De data controller, zoals de naam doet vermoeden, controleert de hoe en de waarom een gebruiker haar/zijn data wordt gebruikt.ESC - IT empowering business - GDPR - Data controller

De data controller kan zelf data verwerken, maar in de praktijk komt het vaker voor dat een derde partij de data gaat verwerken. De data controller geeft toestemming aan deze derde partij om persoonsgegevens te gaan verwerken, maar geeft hierbij wel niet alle controle uit handen. De data controller gaat in dit geval richtlijnen gaan opleggen aan deze derde partij of data verwerker. Volgt u nog?

Makkelijk is het niet, maar het komt erop neer dat u als data controller de eindverantwoordelijkheid draagt voor gegevens die worden geoutsourcet aan een derde partij.

Wat is data een processor?

Zoals net besproken; een data controller kan een externe partij gebruiken om de data te verwerken. Deze derde partijen heten data processors.

Belangrijk hierbij is dat de data processors geen controle hebben over de data en geen inspraak hebben voor welke doeleinden de data wordt gebruikt. De data processor is beperkt tot het verwerken van data volgens de opgelegde richtlijnen door de data controller. Een goede manier om een data verwerker te bekijken is als een gespecialiseerde technische partner, aangesteld om specifieke taken uit te voeren en bepaalde vooropgestelde doelen te behalen.

Waarom maken we een onderscheid tussen de twee?

In een ideale wereld weten beide partijen exact elkaars rollen en plichten en gebeurt de communicatie navenant. De praktijk leert echter dat dit gemakkelijker gezegd dan gedaan is. Daarom dat een GDPR raamwerk noodzakelijk is om problemen in de toekomst te voorkomen. Bijvoorbeeld bij een ‘data breach’ waarbij het van cruciaal belang is dat beide actoren correct handelen en niet buiten de lijntjes kleuren.

Ok, en nu?

ESC - IT empowering business - GDPR - Data processorDe centrale vraag blijft hoe deze aanpak zich vertaalt naar een bedrijfsomgeving. We weten dat outsourcing van data een courante praktijk is. Hoe kan u als organisatie dan zeker zijn dat alles volgens de regels verloopt en dat iedereen zich houdt aan de GDPR verplichtingen?

Vanuit onze ervaring en expertise starten we met een audit die mogelijke pijnpunten kan blootleggen en daarna de nodige aanbevelingen oplijsten in een data verwerkingsovereenkomst. Waarom een audit vraagt u zich af? Het is namelijk belangrijk dat zo’n overeenkomst zo compleet mogelijk is voordat de verwerking uit handen wordt gegeven.

Hoe weet ik als ik een data controller of een data processor ben?

Niks is altijd zwart-wit. Soms bevindt u zich in een grijze zone. En dan is het aangewezen zich te beroepen op juridisch advies. We helpen u alvast op weg met onderstaande summiere checklist:

Ik ben een data processor als ik:

  • IT-systemen implementeer om persoonlijke data te verzamelen
  • Bepaalde technieken gebruik om persoonlijke data op te vangen
  • Beveiliging installeer rond de persoonlijke data
  • Persoonlijke gegevens van gebruikers opsla
  • Persoonlijke gegevens van gebruikers uitwissel met externe partijen

Ik ben een data controller als ik:

  • Gewettigd (juridisch) ben om persoonlijke data te verzamelen
  • Keuze mag maken welke persoonlijke data wordt verzameld
  • Persoonsgegevens mag wijzigen
  • De doeleinden van de persoonsgegevens mag veranderen
  • Mag bepalen als de persoonlijke data wordt gedeeld en met wie
  • Hoe lang de persoonlijke data mag bewaard worden

Bronnen:
https://www.gdpreu.org/the-regulation/key-concepts/data-controllers-and-processors/

 

Nieuwsbrief

Ons team van +80 experts deelt zijn kennis. Benieuwd naar de laatste evoluties?
Ontvang je ook graag telkens een uitnodiging voor de informatieve ontbijtsessies? Schrijf je dan hier in voor onze nieuwsbrief!