FAQ

Wat is de GDPR?

De GDPR staat voor "General Data Protection Regulation".  Het is een Europese regelgeving die de maximale berscherming van de privacy van Europese natuurlijke personen nastreeft in de context van digitale systemen.

Wanneer treedt de GDPR in werking?

25 mei 2018.

Is de GDPR verplichte materie?

Zeer zeker, de richtlijnen zijn wettelijk verplicht. Geen enkele organisatie is vrijgesteld, tenzij men niet beschikt over persoonlijke data.

Staan er boetes op niet naleving?

Inderdaad, hoge zelfs: 20 miljoen euro of 4% van de jaaromzet, afhankelijk van wat het hoogste van de twee is.

Wat zijn "persoonlijke gegevens"?

Dat kan elk stukje informatie zijn dat linkt aan een natuurlijk persoon. De GDPR ziet dat heel breed: een IP adres of een vermelding in een logfile is al voldoende om als persoonlijke data beschouwd te worden.

Welke persoonlijke informatie mag mijn organisatie nog bijhouden?

De GDPR vraagt enkel relevante data bij te houden, met andere woorden: niet meer dan nodig.

Moet ik cybersecurity incidenten waarbij persoonlijke gegevens zijn gecompromitteerd aanmelden?

Ja, vanaf 25/08/18 is dit een verplichting. Op het niet naleven staan hoge boetes.

Moet ik de personen inlichten wiens data ik bezit en wiens data gecompromiteerd is?

Ja, dit is verplicht in het geval er sprake is van schade. Het stelen van persoonlijke gegevens betekent doorgaans schade.

Wat is een "DPO"? Wat doet hij/zij? 

Dit is de Data Protection Officer. Deze heeft 3 voorname taken: de organisatie informeren en adviseren om compliant te worden, een controlerende functie uitoefenen op het naleven van de GDPR en het contactpunt vormen voor de regulerende overheid.

Moet de DPO iemand van binnen de organisatie zijn?

Dat kan, maar dat hoeft niet: het is perfect mogelijk een externe consulent hiervoor in te huren. Dit heeft het bijkomende voordeel dat er geen extra taken op de vaak al druk bezette schouders van interne medewerkers komen. Ook is het voordelig dat een externe partij met een frisse blik naar het systematisch behandelen van persoonlijke data binnen de organisatie kan kijken.

Is een DPO verplicht?

In sommige situaties wel, zoals bij openbare organisaties (bv. plaatselijke overheden), of in het geval dat de verwerking van de persoonlijke gegevens nodig is om de kerntaak van de organisatie te kunnen uitvoeren. Hierbij denken we bevoorbeeld aan ziekenhuizen die medische dossiers nodig hebben bij de behandeling van patienten.

Is het aangewezen een DPO te nemen, zelfs als het niet verplicht is?

Een van de taken van een DPO is een soort van project manager te zijn bij het ontrollen van de GDPR policies. Een coordinerende functie is meer dan aangewezen.

Zijn regelmatige security audits verplicht?

De GDPR specifieert niet in detail hoe een organisatie zijn persoonlijke data moet beheren, maar regelmatige audits lijken ons onontbeerlijk om de dan heersende mate van veiligheid te peilen. Bij een incident moet men aan de respectievelijke autoriteiten aantonen dat men systematische stappen heeft uitgevoerd om de veiligheid te maximaliseren. Audit rapporten of facturen van een externe DPO zijn dan zeer waardevol. Gezien het cybersecurity landschap voortdurend in beweging is (dagelijks worden er nieuwe kwetsbaarheden ontdekt) en gezien organisaties evolueren zijn regelmatig ingeplande audits volgens ons hard nodig.

Wat als mijn organisatie niet op tijd klaar is?

Mei 2018 is zeer dichtbij, zeker wanneer blijkt dat bij een onderzoek van ICT systemen die persoonlijke data behandelen, deze systemen in de basis aangepast moeten worden, of wanneer de organisatie gebruikt maakt van externe partijen om persoonlijke data te behandelen (data processors). In dat laatste geval moeten er vaak aanpassingen aan contracten e.d. gebeuren. Het is moeilijk in te schatten wat de houding van de regulerende overheid gaat zijn, maar we kunnen wel aannemen dat ze gevoelig is voor maximaal gedane inspanningen. Daarnaast zal de overheid het zeer druk hebben met het behandelen van data incidenten, gezien bevoorbeeld in Nederland in 2016 alleen al zich 4000 cyber incidenten hebben voorgedaan waarbij persoonlijke data gecompromitteerd werden. 

Rolex Replica Watches is a company that probably makes the best looking stainless steel Luxury Replica Watches. The metal finish is so polished that it begins to look like silver and gold or some other precious metal. And they are also very big on tradition. You don't have to worry in the slightest about the reliability or accuracy of the time it keeps. I personally prefer automatic Exact Replica Watches to battery operated ones. Maybe I will do a replica Rolex Submariner quartz review soon to see if there is anything you might be missing.

One of the nice features of this Rolex Replica Watch is that it glows in the dark. So it is perfectly usable in the absence of light. The date window is quite prominent.

The Oyster case of the Rolex Oyster Perpetual Datejust 41 Breitling Replica Watch, guaranteed waterproof to a depth of 100 metres (330 feet), is a paragon of robustness, proportion and elegance. The new Datejust 41 carries the Superlative Chronometer certification redefined by Rolex in 2015, which ensures singular performance on the wrist. All of these qualities perfectly mirror the elegance and performance that come together in a Rolex watch. The Rolesor concept is simple: the bezel, the winding crown, as well as the centre bracelet links are made of 18 ct yellow or Everose (Rolex's exclusive patented pink gold alloy) gold; the middle case and the outer links of the bracelet are made of 904L steel. Introduced on the Datejust in 1948, Rolesor contributed largely to the legendary status of this wrist Replicas Watches.