GDPR: wat je moet weten als Combell klant

De General Data Protection Regulation (GDPR) of ook wel genoemd de Algemene Verordening Gegevensbescherming (AVG) heeft verstrekkende gevolgen. Maar wat betekent deze Europese wetgeving voor jouw verhouding tot Combell?

Algemene principes van GDPR / AVG

GDPR wetgevingJe kon er niet naast zien, de laatste maanden: haast overal kon je lezen dat er op 25 mei 2018 een belangrijke Europese wetgeving van kracht wordt, Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Ondertussen ken je wellicht ook de algemene regels, onder andere:

  • Voor de hele EU gelden dezelfde regels; worden data van EU-burgers verwerkt door bedrijven buiten de EU, dan is GDPR ook van toepassing
  • Het begrip "persoonlijke data" wordt uitgebreid met datatypes zoals IP-adressen en gevoelige data zoals gezondheidsgegevens, informatie over culturele achtergrond
  • Het verzamelen van data wordt aan strenge regels onderworpen, zodat je niet zomaar gegevenslijsten kan kopen of aanleggen: de gebruiker moet expliciet toestemming geven, mag zijn gegevens inzien en eisen dat zij verwijderd worden
  • Waar in het verleden overtredingen meestal blauw-blauw gelaten werden, zijn er nu hoge boetes. Wanneer de verzamelde data niet correct worden beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet, met een maximum van 20 miljoen euro.

 

Nieuwe begrippen: AVG / GDPR Data Verwerker, Data Verwerkingsverantwoordelijke, Data-subject

Uitleggen hoe deze nieuwe wetgeving de relatie tussen Combell en jou beïnvloedt, is niet in 1-2-3 gezegd. Zowel Combell zelf als jouw bedrijf (als klant van Combell) vervullen immers beurtelings verschillende rollen, vastgelegd in deze wet.

  • Data Verwerkingsverantwoordelijke = de eigenaar van de data, degene die de gegevens verzamelt. Als klant van Combell bijvoorbeeld verzamel jij naam, adres, betaalgegevens van jouw gebruikers, en ben jij Verwerkingsverantwoordelijke.
  • Data Verwerker = de entiteit waar de data opgeslagen worden, of die ze verwerkt, op een wijze die bepaald wordt door de Verwerkingsverantwoordelijke. Als klant van Combell vraag jij ons om een backup te maken van de data van jouw gebruikers, en in dit geval is Combell de Verwerker. Ook indien de Verwerker aan een derde de verwerking toevertrouwt (de sub-verwerker), blijft de Verwerker verantwoordelijk voor de correcte naleving van de GDPR-wetgeving
  • Data subjects = de personen van wie persoonlijke informatie verwerkt wordt.

 

De taak van de Combell-klant als AVG / GDPR Data-Verwerkingsverantwoordelijke

Je eerste taak is: nagaan of het verwerken van de gegevens wel toegestaan is. Dat wil zeggen dat het verzamelen en verwerken geschiedt omdat

  • het kadert in de verplichtingen van een overeenkomst;
  • je de expliciete toestemming hebt van het data subject (geen opt-out!);
  • je zo voldoet aan de wettelijke verplichting;
  • het relevant is voor de persoonlijke veiligheid of gezondheid van de data-subject;
  • het in het algemeen belang is of in jouw legitiem belang (zoals het kunnen identificeren van personen die verantwoordelijk zijn voor hacking, fraude enz.)

GDPR en gegevens verwerkenJe tweede taak is ervoor te zorgen dat de data voldoende beschermd worden. Wil je beantwoorden aan de ISO27001 certificering, dan ben je verplicht om te werken met een Information Security Board en/of een Security Officer, om zo een Risk Assessment op te stellen.

En tot slot moet je een inbreuk onmiddellijk melden. Hierbij geldt het volgende:

  • Een inbreuk is elke schending van de beveiliging (een lek, een hack… ) waardoor data vernietigd, verloren, gewijzigd worden, ongeoorloofd ontsloten worden of ingezien door onbevoegden.
  • Je moet de inbreuk melden

  • aan de data subjects (jouw klanten)
  • aan de autoriteiten.

  • Deze melding moet je binnen de 72u doen. De GDRP / AVG houdt er rekening mee dat je wellicht binnen die periode nog niet alle informatie over het incident hebt, en vraagt dat je eerste melding wel reeds volgende informatie bevat:

  • het type inbreuk
  • het aantal data subjects die mogelijk een risico lopen
  • het risico dat de inbreuk met zich meebrengt voor de betrokken data subjects
  • de maatregelen die je al genomen hebt op het moment van je melding
  • de maatregelen die je verder nog gaat nemen

Veerle Van Hecke GDPR verantwoordelijke Combell

"Een gegevensinbreuk moet je vanaf 25 mei 2018 op straffe van (grote!) boete binnen de 72u melden. Evalueer op voorhand samen met ons voor welke datasets jij verantwoordelijk bent." (Veerle van Hecke, AVG-GDPR Verwerkingsverantwoordelijke Combell)

 

De taak van Combell als AVG / GDPR Data Verwerker

Combell is de Verwerker van de data die jij als Verwerkingsverantwoordelijke verzameld hebt. Daarom behoort het tot onze taak om o.a.:

  • logs bij te houden van data-verwerkingen die wij doen van jouw data, zoals back-ups maken
  • een inbreuk op jouw datasets, die zich op een door ons beheerd platform bevinden, aan jou (de Data Verwerkingsverantwoordelijke) te melden en jou bij te staan bij het opstellen van de melding aan de Data Subjects (hoever deze hulp gaat, kan bepaald worden in het servicepakket dat je afneemt)
  • na te gaan of Sub-Verwerkers, derde partijen die wij inhuren voor dataverwerking, conform GDPR / AVG werken

Frederik Poelman, Managing director Combell

"Spreek op voorhand met Combell af wie welke rol vervult -GDPR Verwerker of Verwerkingsverantwoordelijke- voor de data op een door Combell beheerd platform." (Frederik Poelman, Managing Director Combell)

 

De Combell klant als AVG / GDPR Data Subjects

Tot slot is er ook nog het feit dat Combell persoonlijke informatie beheert van jou, de klant - van de (technische) contactpersonen binnen jouw bedrijf bijvoorbeeld. In die rol heb jij als Data Subject onderstaande rechten, en is het onze plicht als Data Verwerkingsverantwoordelijke en Verwerker om hierop als hieronder beschreven te reageren:

  • Je hebt het recht te eisen dat wij je gegevens wissen, vb. wanneer het doel waarvoor de data oorspronkelijk verzameld werden niet meer bestaat. Wij dienen niet alleen de gegevens bij ons te wissen, maar ook aan mogelijke onderaannemers te vragen dat zij ook bij hen de data wissen.
  • Je hebt het recht om informatie over deze data te vragen, zoals hoe lang je data bewaard worden, waarom wij die verzamelen, en welke personen/organisaties toegang hebben tot jouw informatie.
  • Je hebt het recht om, met redelijke intervallen, je data in te zien en eventueel te laten verbeteren, en je hebt het recht je gegevens naar een andere Verwerker te verhuizen. Afhankelijk van de omstandigheden zal Combell jou beveiligde toegang geven tot jouw gegevens of een kopie ervan overhandigen in een industriestandaard zoals een csv-bestand.

Denk eraan: bij een data-inbreuk moet je volgens AVG / GDPR binnen de 72u na het ontdekken ervan aangifte doen. De mate waarin Combell je kan bijstaan, wordt bepaald door de technologische en organisatorische maatregelen vermeld in je servicepakket. Spreek erover met je accountmanager!

Feedback of vragen over uw specifieke situatie (vb. een private cloud oplossing)? Contacteer ons gerust.