begrippen

Begrippen

Persoonsgegevens

Eén van de centrale begrippen van de GDPR is het begrip ‘persoonsgegevens’. Dit begrip bepaalt of de GDPR van toepassing is op de verwerking van gegevens of niet. Enkel indien het om persoonsgegevens gaat, moet de verwerking conform de GDPR gebeuren. Daarom is een juiste invulling van dit begrip belangrijk.

De GDPR definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische economische, culturele of sociale identiteit van die natuurlijke persoon.”

Deze definitie is bewust zo ruim mogelijk opgesteld waardoor vele verwerkingen onder de GDPR vallen.

Elke vorm van informatie die naar een natuurlijke persoon kan leiden, is ‘een persoonsgegeven’.

Het is dan ook onvermijdelijk dat uw organisatie persoonsgegevens verwerkt- en dat u dus in overeenstemming dient te zijn met de GDPR.

Er zijn twee verschillende categorieën persoonsgegevens, namelijk de “gewone” persoonsgegevens en de “gevoelige” persoonsgegevens.

Gevoelige persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen blijken. Ook de verwerking van genetische en biometrische gegevens en gegevens waaruit iemands seksueel gedrag kan worden afgeleid vallen hieronder.

Verwerking van deze gevoelige persoonsgegevens is in principe verboden. De GDPR voorziet enkele strikte toelaatbaarheidsvoorwaarden zoals  uitdrukkelijke toestemming van de betrokkene, noodzakelijke verwerking in het kader van het arbeids- en sociale zekerheidsrecht, bescherming van vitale belangen van de betrokkene etc.

Wanneer u twijfelt of de verwerking die uw organisatie wil uitvoeren een verwerking van persoonsgegevens is, dient u te bekijken of u de gegevens kan herleiden tot een natuurlijke persoon. Indien dit te herleiden valt, gaat het over een verwerking van persoonsgegevens en dient u de regels uit de GDPR te volgen.

Verwerkingsgronden

Overeenkomstig de GDPR is een verwerking van persoonsgegevens slechts rechtmatig als hiervoor een verwerkingsgrond bestaat.

De GDPR voorziet zes gronden.

1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Wanneer de verwerking van de persoonsgegevens niet gebaseerd kan worden op één van de voorgaande gronden, is de verwerking onrechtmatig en mogen de persoonsgegevens niet verwerkt worden.

Indien u uw verwerking louter baseert op toestemming, bent u als verwerker overgeleverd aan de grillen van de betrokkene. Wij kunnen u dan ook adviseren om uw verwerking te baseren op één van de andere verwerkingsgronden (eventueel naast de toestemming). In de meeste gevallen zal een gerechtvaardigd belang of de uitvoering van een overeenkomst het best beargumenteerbaar zijn.

De verwerking baseren op de toestemming van de betrokkene doet u best enkel wanneer er geen andere verwerkingsgrond voorhanden is.

Toestemming

Het begrip ‘toestemming’ kent een ruime uitlegging aangezien de GDPR uitgaat van het principe dat de betrokkene op een zodanige transparante en eenvoudige wijze geïnformeerd moet worden opdat hij vrijwillig kiest om zijn persoonsgegevens te laten verwerken.

Hiervoor dient de toestemming niet enkel (i) vrij, (ii) specifiek en (iii) geïnformeerd te zijn, maar dient deze ook (iv) ondubbelzinnig en (v) te gebeuren door middel van een verklaring of een ondubbelzinnige actieve handeling.

1. een toestemming kan alleen rechtsgeldig zijn als de betrokkene een werkelijke keuze heeft en er geen sprake is van bedrog, intimidatie of dwang en de betrokkene ook niet het risico van aanzienlijke negatieve gevolgen loopt wanneer hij niet toestemt.

Wanneer de gevolgen van toestemming de keuzevrijheid van de betrokkene beperken, kan er geen sprake zijn van ‘vrije’ toestemming.

2. vervolgens dient de toestemming specifiek te zijn. Een algemene toestemming zonder dat duidelijk is aangegeven wat precies het doel van de verwerking is, is niet aanvaardbaar naar de geest van de GDPR. Langs de andere kant dekt het geven van toestemming alle verwerkingsactiviteiten die verbonden zijn met dat specifieke doeleinde, zodat niet telkens een afzonderlijke toestemming vereist is voor elke verwerkingsactiviteit. Met andere woorden, wanneer de toestemming voor verschillende doeleinden wordt gevraagd, moet de verwerkingsverantwoordelijke de mogelijkheid bieden om afzonderlijk toe te stemmen voor elk van deze doeleinden.

 

3. alvorens de toestemming van de betrokkene wordt gevraagd, dient deze te worden geïnformeerd over de verwerking. Dit betekent ook dat de betrokkene in kennis moet worden gesteld van het feit dat hij de toestemming steeds kan intrekken of weigeren zonder nadelige gevolgen. Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Er is bijgevolg een duidelijk verband tussen de transparantieverplichtingen die gelden als basisprincipe en de toestemming.

4. vierde bestanddeel betreft het ondubbelzinnig karakter van de toestemming. De wilsuiting waarmee de betrokkene te kennen geeft dat hij instemt met de verwerking van zijn persoonsgegevens, mag niet voor tweeërlei uitleg vatbaar zijn. Als daar redelijke twijfel over bestaat, is er sprake van dubbelzinnigheid.

5. tot slot vereist de GDPR dat de toestemming dient te gebeuren door middel van een verklaring of een actieve handeling. Uit het stilzitten/stilzwijgen van de betrokkene kan nooit de toestemming worden afgeleid. Het voorgaande betekent niet dat de toestemming ook schriftelijk gegeven moet worden. Ook een mondelinge verklaring of een handeling waaruit de toestemming zonder twijfel kan worden afgeleid, voldoen in principe. Aangezien de bewijslast evenwel op de verwerkingsverantwoordelijke rust, is het ten zeerste aan te raden dat de toestemming schriftelijk wordt gegeven.

Samengevat kan de toestemming beschouwd worden als verwerkingsgrond die het eenvoudigst te verkrijgen is. Echter, is keerzijde van de medaille ook dat deze verwerkingsgrond als zwakste verwerkingsgrond gezien kan worden, aangezien een toestemming steeds kan worden ingetrokken door de betrokkene.

Verwerkingsverantwoordelijke & verwerker

Voor de gegevensbescherming is de vraag naar de identiteit van de verwerkingsverantwoordelijke van essentieel belang. Het bepaalt immers op welke entiteit de verantwoordelijkheid zal rusten om de verplichtingen binnen de gegevensbeschermingswetging na te leven en de betrokkenen het uitoefenen van hun rechten te verzekeren.

Met verwerkingsverantwoordelijke wordt bedoeld de natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Het kan zijn dat uw organisatie als een gezamenlijke verwerkingsverantwoordelijke optreedt. Dit is het geval indien zij samen met één of meer organisaties gezamenlijk antwoorden biedt op de vragen waarom en hoe persoonsgegevens moeten worden verwerkt. Zij dienen een regeling te treffen waarin hun respectievelijke verantwoordelijkheden voor de naleving van de GDPR worden vastgelegd.

De GDPR spreekt van een verwerker als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Doorgaans zal een verwerker een derde partij zijn buiten de onderneming, maar er zijn ook situaties denkbaar waarbij een verwerkingsverantwoordelijke en verwerker vereenzelvigd worden door dezelfde organisatie. De specifieke taken van de verwerker jegens de verwerkingsverantwoordelijke worden in een verwerkersovereenkomst uiteengezet.

Verwerkingsregister

Wanneer uw organisatie persoonsgegevens verwerkt, dient omtrent deze verwerkingsactiviteiten een register aangelegd te worden.

Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat de GDPR een afwijking voor organisaties met minder dan 250 werknemers voor wat het bijhouden van een register betreft. In principe hoeven zij geen register aan te leggen, tenzij:

1. het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen;

2. de verwerking niet incidenteel is;

3. de verwerking bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten betreft.

Een verwerkingsregister bevat de gegevens die door de GDPR worden opgelegd. Welke gegevens juist opgenomen moeten worden is afhankelijk van het feit of uw organisatie verwerkingsverantwoordelijke of verwerker is.

Indien uw organisatie verwerkingsverantwoordelijke is, dienen volgende gegevens te worden opgenomen in het verwerkingsregister:

1. de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;

2. de verwerkingsdoeleinden;

3. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

4. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;

5. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, indien de GDPR dit vereist, de documenten inzake de passende waarborgen;

6. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

7. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Indien uw organisatie optreedt als verwerker, dienen volgende gegevens te worden opgenomen in het verwerkingsregister:

1. de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;

2. de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;

3. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, indien de GDPR dit vereist, de documenten inzake de passende waarborgen;

4. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

De registers dienen steeds raadpleegbaar te zijn in uw organisatie. De bevoegde gegevensbeschermingsautoriteit kan deze opvragen tijdens een controle. Medewerking door de verwerkingsverantwoordelijke of verwerker is verplicht.

De bewaring van de register kan ook op elektronische wijze, maar hierbij bestaat het gevaar dat u bij een probleem met de elektronische drager geen toegang meer zou hebben tot de registers. Daarom is het aangewezen om de documenten op verschillende wijzen te bewaren zoals harde schijf, cloud-server, papier, …

Indien u hulp wenst bij het opstellen van deze registers, kan u steeds contact opnemen met ons kantoor.

Verwerkersovereenkomst

Een organisatie zal in het kader van haar activiteiten vaak beroep doen op andere ondernemingen. Denk maar aan loonadministratie, beheer van de website, boekhouding,… Bij het verrichten van deze opdrachten is het mogelijk dat deze ondernemingen in uw opdracht persoonsgegevens zullen verwerken. Dit betekent dat uw organisatie gezien wordt als de verwerkingsverantwoordelijke en de andere onderneming als een verwerker.

Overeenkomstig de GDPR dient deze relatie opgenomen te worden in een overeenkomst, dit wordt ook wel de verwerkingsovereenkomst genoemd.

Hierbij kan worden gekozen voor een individuele overeenkomst of standaardcontractbepalingen. Deze standaardcontractbepalingen worden door de Europese Commissie of door een toezichthoudende autoriteit opgesteld. Indien deze door een toezichthoudende autoriteit worden opgesteld, dienen deze nog steeds door de Europese Commissie te worden bevestigd.

Dergelijke overeenkomst wordt vaak als addendum bij de hoofdovereenkomst gevoegd, maar kan ook deel uitmaken van de hoofdovereenkomst.

In deze overeenkomst dienen volgende zaken opgenomen te worden:

  • het onderwerp en de duur van de verwerking;

  • de aard en het doel van de verwerking;
  • het soort persoonsgegevens en de categorieën van betrokkenen;
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Daarnaast bepaalt de GDPR dat de overeenkomst dient te bepalen dat de verwerker:

1. de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de verwerker, de verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;

2. waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;

3. alle nodige technische en organisatorische maatregelen neemt;

4. al dan niet een andere verwerker in dienst kan/mag nemen;

5. bijstand verleent bij het vervullen van de verwerkingsverantwoordelijke zijn plicht om verzoeken om uitoefening van de rechten van de betrokkene te beantwoorden;

6. bijstand verleent met het oog op de technische en organisatorische maatregelen en de DPIA van de verwerkingsverantwoordelijke;

7. persoonsgegevens wist of aan de verwerkingsverantwoordelijke terug bezorgt na afloop van de overeenkomst;

8. de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de voorgaande verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.

Indien uw organisatie nieuwe contracten overeenkomt, is het belangrijk dat deze zaken in de overeenkomst worden opgenomen. Voor reeds bestaande overeenkomsten kan u het best opteren voor een addendum aan de bestaande overeenkomst om uw organisatie in regel te stellen met de GDPR.

Data Protection Officer (functionaris voor gegevensbescherming)

De GDPR verplicht in een aantal gevallen de aanstelling van een functionaris voor gegevensbescherming of “Data Protection Officer”, de zogenaamde “DPO”.

Een DPO is een functionaris voor gegevensbescherming die toezicht houdt op de onderneming die op grote schaal persoonsgegevens verwerkt. Hij zal informeren en adviseren aan de verwerkingsverantwoordelijke en zijn medewerkers over de verplichtingen die de GDPR oplegt. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de DPO naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Bovendien zal hij toezien op de naleving van de wettelijke bepalingen alsook op het beleid dat werd uitgestippeld om de GDPR te implementeren. Met betrekking tot de uitvoering van zijn taken is de DPO tot geheimhouding of vertrouwelijkheid gehouden.

De aanwezigheid van een DPO is zeker niet voor iedereen verplicht.

De GDPR schrijft dit slechts voor drie categorieën voor:

  • de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve voor gerechten in het kader van de uitoefening van hun rechterlijke taken;
  • de verwerker of verwerkingsverantwoordelijke zijn hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens en de verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten; 
  • de verwerker of verwerkingsverantwoordelijke zijn hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/ of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;

Voorbeelden van stelselmatige verwerkingen op grote schaal zijn verwerkingen van patiëntendata door ziekenhuizen, verzamelen van reisdata van burgers op de bus, verwerken van klantendata door verzekeraars of banken, verwerken van gegevens door telecomnetwerken en tracking van locatiegegevens. Hierbij wordt gekeken naar het aantal datasubjecten, volume van de data, tijdsduur waarin de data wordt verwerkt en het geografisch gebied van het verwerken.

De GDPR legt geen specifieke certificeringen op voor een DPO, maar vereist wel dat zij over de nodige deskundigheid en expertise beschikken op het vlak van gegevensbescherming. Een DPO moet kunnen aantonen dat hij goed geïnformeerd is over de bescherming die vereist is voor het soort gegevens dat wordt verwerkt en legt een grote mate van professionaliteit aan de dag. Het wordt om die reden ten zeerste aangemoedigd om de DPO een gepaste opleiding te laten volgen indien men kiest om iemand binnen het bedrijf aan te stellen of om een externe opgeleide DPO aan te duiden.

Daarnaast fungeert de DPO als eerste aanspreekpunt voor de gegevensbeschermingsautoriteit en wordt hij geacht mee te werken met de autoriteit. Betrokkenen kunnen met de DPO steeds contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten.

Hoewel de aanstelling van een DPO niet in alle gevallen verplicht is, is het voor grotere ondernemingen (> 50 werknemers) aangewezen om toch beroep te doen op eenDPO. De complexiteit van de wetgeving en de implementatie ervan in de onderneming kost veel tijd en energie.

Boetes op het niet-naleven van de GDPR zijn immers niet min. Organisaties die de GDPR niet naleven, riskeren een boete die kan oplopen tot 4% van de wereldwijde omzet, met een maximum van 20 miljoen euro.

Indien u dit wenst, kunnen wij u hierin bijstaan. Wij beschikken over gecertificeerde DPO’s die uw organisatie steeds kunnen adviseren en bijstaan omtrent de GDPR.

Data Protection Impact Assesment

Een Data Protection Impact Assesment (DPIA), of gegevensbeschermingseffectbeoordeling, wordt in sommige gevallen verplicht door de GDPR. De verplichting geldt wanneer er een gegevensverwerking met een hoog risico plaatsvindt, waarbij nieuwe technologieën worden gebruikt.

De GDPR geeft zelf drie gevallen waarin er een DPIA moet worden opgesteld:

1. het gaat om een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

2. het is een grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten;

3. er is sprake van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Er zal slechts in een zeer beperkt aantal situaties voldaan zijn aan deze voorwaarden, wat betekent dat een DPIA voor de meeste verwerkingen niet verplicht is.

Dit betekent echter niet dat het geen goed idee is een DPIA uit te voeren. Wanneer uw organisatie namelijk een verwerking van persoonsgegevens doet, of gaat doen, is het interessant om een goed overzicht te hebben van de verwerking. Uw organisatie moet namelijk steeds op een verantwoorde manier omgaan met de persoonsgegevens die er verwerkt worden.

Enkele zaken die u dient te weten om op verantwoorde manier met persoonsgegevens om te gaan, zijn:

1. de plaats waar de gegevens worden opgeslagen;

2. wat er met de gegevens gebeurt;

3. op welke rechtsgrond de gegevens verwerkt worden;

4. en de technische en organisatorische maatregelen die uw organisatie zal (moeten) nemen om de gegevens te beschermen,…

Dit zijn de elementen die in een DPIA onderzocht worden.

Wanneer u volgens de GDPR gehouden bent een DPIA uit te voeren is dit een geformaliseerde DPIA. Indien u niet specifiek gehouden bent om een DPIA te laten uitvoeren, doch deze toch laat uitvoeren, zal deze beoordeling sterk lijken op een DPIA doch zij het minder geformaliseerd.

Privacy Policy

Transparantie is één van de basisprincipes van de GDPR. Het is dan ook belangrijk om de betrokkene behoorlijk te informeren.

Deze informatie dient gegeven te worden op een duidelijke, begrijpelijke en gemakkelijk toegankelijke wijze. Het eenvoudigste dat u kan doen is een zogenaamde ‘Privacy Policy’ publiceren op uw website en daarnaast deze ter beschikking te stellen op uw kantoor zodat betrokkenen steeds de mogelijkheid hebben om deze Privacy Policy in te kijken.

De Privacy Policy moet een antwoord bieden op de mogelijke vragen van een betrokkene. Deze vragen zijn onder andere:

1. wie verwerkt de persoonsgegevens?

2. waarom worden ze verwerkt?

3. wat is de verwerkingsgrond?

4. welke persoonsgegevens worden bewaard?

5. hoe lang worden ze bewaard?

6. welke beveiligingsmaatregelen worden genomen?

7. bij wie kan worden aangeklopt bij vragen/klachten?

Het is niet voldoende dat u een antwoord biedt op deze vragen, het is vereist dat deze antwoorden ook begrijpelijk zijn voor de betrokkenen. Vermijdt dan ook vakjargon, ingewikkelde begrippen en al te technisch taalgebruik. Indien deze termen onvermijdelijk zijn, probeer deze dan uit te leggen zodat de betrokkene deze kan begrijpen.

Het is ook belangrijk dat u weet voor wie uw Privacy Policy bedoeld is. Wanneer u diensten aanbiedt aan artsen kan u termen hanteren die gebruikelijk zijn bij artsen, aangezien dit voor hen begrijpelijke termen zijn. Wanneer u echter diensten aanbiedt aan minderjarigen moet uw Privacy Policy zeer eenvoudig worden opgesteld. Uw Privacy Policyy dient dus zo eenvoudig mogelijk te begrijpen zijn, rekening houdend met de doelgroep waarvoor deze is opgesteld.

Ondervind je moeilijkheden bij het opstellen van een Privacy Policy? Weet u niet zeker of uw Privacy Policy in lijn ligt met de GDPR? Met onze diepgaande kennis van de privacywetgeving zijn we ervan overtuigd dat we u een Privacy Policy op maat kunnen aanbieden. Neem contact met ons op en samen bekijken we de mogelijkheden naar een GDPR-conforme Privacy Policy.

Penetratietest

De GDPR vereist dat de persoonsgegevens die een organisatie verwerkt voldoende beveiligd worden. Om te testen of uw systemen (nog) voldoende veilig zijn, laat u best regelmatig een penetratietest uitvoeren.

Penetratietests zijn in essentie een gecontroleerde vorm van hacking waarbij een professionele tester, die in opdracht van een organisatie werkt, dezelfde technieken gebruikt als een criminele hacker om te zoeken naar kwetsbaarheden in de netwerken of applicaties van het bedrijf. Penetratietests kunnen zowel gebeuren bij een afgewerkt systeem, als in één van de stadia bij de ontwikkeling van een nieuw systeem.

Door dergelijke test te laten uitvoeren, wordt het voor u eenvoudiger om de door de GDPR vereiste technische maatregelen te nemen ter bescherming van de verwerkte data. U zal namelijk te weten komen wat de zwaktes zijn van uw infrastructuur waardoor u gerichte acties kan ondernemen tegen deze zwaktes. Deze tests kunnen in een later stadium zeer belangrijk zijn. Zo zal in het geval van een datalek, de Gegevensbeschermingsautoriteit (GBA) nagaan of u voldoende maatregelen hebt genomen om dit lek te voorkomen. Eén van de zaken die een rol kunnen spelen in deze beoordeling is het feit of er al dan niet penetratietests werden uitgevoerd.

Indien u uw organisatie wil onderwerpen aan dergelijke penetratietests, kan u beroep doen op onze diensten. Wij bieden tests aan op netwerk-, server- en applicatieniveau. Voor meer informatie omtrent dergelijke tests en een vrijblijvende prijsofferte, kan u steeds met ons contact opnemen.

Hoofdwebsite Contact
make appointment upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!