AVG (GDPR) / DPO

Beëdigd gerechtsdeskundige, technisch raadsman, forensisch onderzoeker.
Onze gerechtsdeskundigen zijn tevens federaal erkend bemiddelaar.

Een overzicht van al onze diensten, ons tarief, ons team?

CERTIFIED DPO
AVG - PRIVACY-REGLEMENTERING

WAT IS HET? 

Het was al verplicht, als bedrijf / zelfstandige / vrij beroeper / instelling / bestuur / vrijwilliger zorgvuldig om te springen met gegevens over personen. Met de invoering van de Europese regelgeving op 25 mei 2018 is die verplichting ...
- over de verschillende landen gelijkgetrokken;

- geformaliseerd;
- kregen de 'mensen' diverse rechten om het respect voor hun privacy te controleren en desnoods af te dwingen op straffe van indrukwekkende boetes.

OP WIE VAN TOEPASSING?

Op iedereen, die gegevens over personen bijhoudt of verwerkt, tenzij voor privé-doeleinden bestemd, zoals uw privé-contactlijstje in uw telefoon of klapper.

Zodra u voor andere doeleinden persoonsgegevens op een gestructureerde manier bijhoudt, zelfs al is het maar voor een buurtvereniging, plaatselijke zwemclub, wandelclub, enzovoorts, dient u te voldoen aan enkele vereisten.

Het hoeft hier maar te gaan om naam en telefoonnummer (of mail-adres) en er zijn al enkele verplichtingen aan verbonden. Dan maakt het niet uit of u slechts een 'kleine' zelfstandige bent, een vrij-beroeper of dat u wat vrijwilligerswerk doet voor een kleine vzw, u moet reeds enkele privacy-regels volgen.

KUNT U ZICH AAN DE GDPR ONTTREKKEN MET JURIDISCHE VRIJWARING?

Nee.

De GDPR is juist net geschreven om dit te voorkomen. Hoofdzakelijk heeft men het over de bedoelingen van de GPDR, zodat je een regeltje niet kunt omzeilen door het anders te interpreteren of de organisatie anders in te richten.

Zelfs de ultieme maatregel, de verwerking van persoonsgegevens uitbesteden aan derden met een 'ijzersterk' contract, stelt u niet vrij van de GDPR. Die derde is dan 'gegevensverwerker', maar u bent en blijft de 'gegevensverantwoordelijke'. Ongeacht uw contract met uw verwerker, u blijft verantwoordelijk.

GDPR MOEILIJK TE BEGRIJPEN?

Over de wetteksten zijn heel wat publicaties geschreven met en over hoe moeilijk de GDPR zou zijn.

Als u één leidraad in gedachten neemt wordt het opeens zoveel gemakkelijker te begrijpen.

Uw gegevens over een persoon zijn niet uw gegevens.

Het zijn die van hem / haar, ook al staan ze op uw computer, ook al heeft u ze aangekocht, ook al kreeg u toestemming om ze te gebruiken voor mailing, ook al ...

Persoonsgegevens, zoals naam, adres, telefoonnummer, mail-adres, gezondheid, financiële toestand, koopgedrag, klikgedrag, uitgaansgedrag, rijgedrag ... kunnen van niemand anders zijn dan van de persoon zelf;

Anderen mogen ze gebruiken, mits toestemming, mits nodig voor het uitvoeren van contracten (met hen), mits het algemeen belang, mits wettelijk bepaald, mits hun eigen belang (zoals patiëntendossier), maar de persoonsgegevens zijn en blijven van de persoon in kwestie zelf.

U dient dan ook voorzichtig om te springen met hun gegevens, hen inzage te verlenen in hun gegevens, hen uit te leggen waarvoor u hun gegevens gebruikt, wie van uw organisatie of derden toegang heeft tot hun gegevens, enzovoorts.

Uw zorg voor hun gegevens moet zo groot zijn, dat u sommige persoonsgegevens niet eens per (onbeveiligde) mail mag overmaken aan iemand anders in uw organisatie!

Met deze leidraad is het gemakkelijker de GDPR te begrijpen.

DE 'PAKKANS'?

Kosten versus baten ... het is een overweging, die vaak gemaakt wordt. Wat is immers de kans, dat u 'gepakt' wordt op inbreuken? Hoeveel controleurs zijn er op pad om u te controleren?

Precies zoveel als er personen zijn, waarover u gegevens bijhoudt!

Ieder van die personen kan op simpele wijze inbreuken op zijn rechten vaststellen.

En, hij / zij moet er geen rechtzaak voor aanspannen met de kosten van een advocaat. Een klacht bij de privacycommissie indienen volstaat.

Erger, de klager moet niet eens 'naar het genoegen van recht bewijzen' dat u nalatig bent. Het is u, die met een dossier moet bewijzen, dat u zich aan de wetgeving houdt.

Nog erger?

U bent zelfs verplicht iedere persoon, waarover u gegevens bijhoudt, te wijzen op diens recht die klacht in te dienen!

Ontevreden klanten, ontslagen werknemers, ontheven bestuurders, ongelukkige (ex-)leden, allemaal kunnen ze u het vuur aan de schenen leggen.

Er zijn dus véél controleurs met daarmee een hoge pakkans, zodra zij zich realiseren hoe moeilijk zij het u kunnen maken ... als u niet in orde bent met GDPR.

En de boetes zijn voor de overheid voldoende aantrekkelijk ... om op te leggen en te innen.

HOE MOEILIJK IS HET VOOR EEN KLAGER OM U TE BETRAPPEN?

De wetgeving maakt het de klager heel gemakkelijk.

Wanneer bent u 'reeds in fout'? Indien u de personen ...

- niet nadrukkelijk heeft gemeld klacht in te kunnen dienen bij de privacy-commissie;
- na hun eenvoudig verzoek niet binnen dertig dagen kosteloos heeft geantwoord welke gegevens u over hen bijhoudt, om welke reden u dat doet, met welke derden u die gegevens deelt, enz.;
- geen bewijs kunt overmaken van hun nadrukkelijke toestemming aan u om die gegevens bij te houden (tenzij u een contractuele 

reden kunt aantonen, zoals wettelijk nodig voor de boekhouding, nodig om een bestelling op dat adres te kunnen leveren, enzovoorts.);
- niet de optie biedt hun gegevens niet langer te gebruiken / op te slaan (tenzij u wettelijk of contractueel noodzakelijk die gegevens moet behouden);
- ...

Wie er op uit is het u moeilijk te maken, heeft het bijzonder gemakkelijk ... tenzij u in orde bent met de GDPR.

CATASTROFES?

U bent een USB-stick met een kopie van de ledenlijst kwijtgeraakt?

U bent het slachtoffer van ransomware en uw computer is gecrypteerd?

Een ICT-er (zelfs niet eens in loondienst bij u!) heeft tijdens een onderhoud aan uw server persoonsgegevens gekopiëerd om die toe te voegen aan zijn mailingbestand?

Het is al erg genoeg ... en nu moet u dat spontaan ook nog eens melden aan de privacy-commissie, binnen de 72 uren! 

En betreft het gevoelige gegevens, zoals gezondheid, financiën, minderjarigen (< 16 jaar), dan moet u dat ook nog eens melden aan iedere betrokkene!

Om van reputatieschade te spreken!

En blijkt uit uw verplicht bij de privacycommissie in te dienen dossier (of het onderzoek daarna), dat u niet de nodige veiligheidsmaatregelen nam, dan bent u ook daarmee in fout. Het kan hierbij gaan om zelfs maar nog niet de laatste update van programmatuur of virusscanner geïnstalleerd te hebben.

BESCHERMING?  GDPR RESPECTEREN!

Hoe kunt u zich beschermen tegen de indrukwekkende boetes?

U kunt ze slechts vermijden door de GDPR te volgen ... en dat zelf te kunnen bewijzen.

Wie denkt, dat het GDPR-gebeuren wel zal overwaaien negeert de 

 belangstelling, die sommige mensen hebben voor hun privacy ... of voor hun vermogen het u lastig te maken.

Ze hebben de wet aan hun kant.

RISICO'S / KOSTEN / BATEN:

De kans aangeklaagd te worden door één van die vele 'controleurs' is een zeker risico; het is hen immers erg gemakkelijk gemaakt.

U in regel stellen met de GDPR-wetgeving brengt kosten met zich mee. Dat is geen vrije keuze. U bent verplicht.

Nu is het de vraag, of u enkel die kosten wil maken dan wel meteen gaat voor een investering in betere organisatie (verplicht onder de GDPR), betere beveiligingstechnieken (verplicht onder de GDPR), ...

HEEFT U EEN DPO NODIG?

DPO staat voor Data Protection Officer. Dit is een in de GDPR opgenomen functionaris, die adviseert over de te nemen maatregelen om in overeenstemming te zijn met de GDPR.

Op dit moment is de titel DPO nog niet wettelijk beschermd.

Wel hebben de experten van CIRO allemaal een cursus Certified DPO gevolgd (en zijn geslaagd voor het examen) bij een erkende onderwijsinstelling.

Sommige bedrijven, instellingen of zelfs zelfstandigen / vrij-beroepers zijn verplicht een DPO aan te stellen, iemand van hun personeel of een derde.

Of dat voor u nodig is zullen wij u helpen bepalen.

HEEFT U EEN DATAREGISTER NODIG?

De wetgeving vergt, dat u procedures uitwerkt om te voldoen aan de GDPR, hoe 'klein of groot' dat u ook bent als bedrijf / instelling / bestuur / vrij beroeper / zelfstandige / vzw.

Bent u een grote organisatie, dan bent u daarom al verplicht die procedures neer te schrijven in een register, het dataregister.

Echter, ongeacht de omvang van uw organisatie / praktijk / club, als u persoonsgegevens gestructureerd verwerkt (boekhouding, 

personeelsbeheer, mailingbestanden, ledenbestand, enz.) bent u ook verplicht een dataregister op te stellen ... en bij te werken.

Of dat voor u nodig is zullen wij u helpen bepalen en zo ja, helpen wij het u ook opstellen.

ZOEKT U OBJECTIEVE HULP BIJ GDPR-COMPLIANCE?

U krijgt van alle kanten hulp aangeboden om u in orde te stellen met de GDPR-wetgeving.

CIRO kan u met twee officiëel gecertificeerde DPO's eveneens hulp aanbieden.

Niet alleen zijn wij DPO's, maar tevens experten in informatica met ook een juridische opleiding (verplicht voor gerechtsdeskundigen).

Ons advies en begeleiding is zonder commerciële bedoelingen naar uw investeringen toe. Immers verkopen wij niets aan u en nemen wij geen commissie op uw aankopen bij derden.

U betaalt onze werkuren en kosten, meer niet.

Wij helpen u bepalen wat u nodig heeft, welke procedures u best volgt om te voldoen aan vragen om informatie, om correctie, om catastrofes te melden, enzovoorts.

Wij helpen u ook om, indien nodig, uw organisatie af te stemmen (wie is er allemaal betrokken bij persoonsgegevens, wie bepaalt wat er gebeurt, wie is de contact­persoon als iemand vragen heeft over zijn gegevens, enzpvoorts.).

Wij helpen u om het dataregister op te stellen en bij te werken.

Meer nog, wij helpen u dat allemaal zelf te doen. Meer en meer zonder onze hulp, want eenmaal goed georganiseerd zult u daarna wellicht minder en minder nog beroep moeten doen op onze expertise.

Meer informatie nodig?  

Bel ons:
09.355.76.37

CONTACT: Tel: +32 (0)9 355 76 37 - E-Mail: info@ciro.be
ADRES: C.I.R.O. BV - Beukendreef, 15 - B-9080  Lochristi
KBO: BE 0427 728 725 - RPR Gent - IBAN: BE10 9792 1435 0504

Copyright (c) 2024 Centrum voor Informatica, Research en Ontwikkeling BV