Ondertussen is de wetgeving rond GDPR actief en hebben de meeste bedrijven waardevolle inspanningen geleverd om tegemoet te komen aan deze regelgeving. In wat volgt geven we je meer toelichting en duiding bij de weg die wij reeds hebben afgelegd en wat er nog op onze GDPR-agenda staat.
Onze verbintenis tov GDPR en privacy
De GDPR, Algemene gegevensverordening (AVG), is een belangrijk stuk wetgeving dat ontworpen is om de bescherming van gegevens voor alle particulieren binnen de Europese Unie in te vullen en te versterken.
De verordening werd effectief en afdwingbaar op 25 mei 2018, nu 2 jaar later na de beslissing om deze in te voeren. Als je een bedrijf buiten de EU bent, moet je dit alles ook nog steeds weten en toepassen De bepalingen van de AVG zijn van toepassing op elke organisatie die persoonsgegevens van personen in de Europese Unie verwerkt, inclusief het volgen van hun online activiteiten, ongeacht of de organisatie fysiek aanwezig is in de EU.
Het Financieel Huis BVBA streefde naar naleving van de GDPR vóór de inwerkingtreding van de verordening. Bovendien zien we dit als een kans om de efficiëntie van processen met betrekking tot gegevensverwerking te verbeteren en de transparantie van onze gegevenspraktijken te vergroten.
We hebben onze GDPR aanpak en de weg die we afleggen, afgetoetst aan “de 5 mijlpalen tot GDPR succes”, gebaseerd op het Foresster Reserach. Deze GDPR bepalingen zijn van toepassing op al onze diensten, producten of handelsbenamingen. Denken we bijvoorbeeld aan de websites die onder ons beheer vallen of de dienst COMMAR, of de Financial Well-Being Academy, beiden onderdeel van Het Financieel Huis.
Tevens maken we gebruik van de technologie van het bedrijf Teachable voor het beheer van onze online school en opleidingspakketten. Deze GDPR vereisten en security risico’s hebben wij bekeken en geloven in het goed beheer van de toeverdrouwde data door deze aanbieder. Tevens werd er een SSL certificaat toegevoegd en verlopen alle betalingen via een 128 bit versleutelde verbinding op onze website van de Financial Well-Being Academy.
Je kan alle GDPR-gerelateerde functies lezen die we aan onze openbare routekaart toevoegen in twee categorieën: Reeds voldaan en geïmplementeerd of nog te bestuderen en/of te implementeren.
De weg die we volgen om volledige compliance inzake GDPR te verkrijgen is als volgt:
Organisaties zullen een projectteam nodig hebben om alle functies te vertegenwoordigen bij het plannen en implementeren van de GDPR. Het projectteam is afhankelijk van de grootte van de organisatie, maar kan bestaan uit 'Heads of Functions'. Met zware boetes van maximaal 4% van de wereldwijde inkomsten of € 20 miljoen (wat het grootste is), moeten senior beslissingsnemers volledig worden geïnformeerd over de impact van GDPR op het bedrijf.
Een uitgebreide specificatie van de GDPR-vereisten moet zowel aan het management als aan het personeel van de hele organisatie worden meegedeeld via gehoste opleidingsseminars, webinars of interne bewustmakingscampagnes die zullen helpen om individuen voor te lichten en de aandacht te vestigen op de aanstaande wijzigingen in het beleid en de procedures van het bedrijf.
- Informatie Asset Register
De GDPR vereist dat bedrijven moeten aantonen hoe zij verwerken de persoonlijk identificeerbare informatie die zij bevat, van verzameling tot verwijdering. Een eenvoudige manier om een te identificeren en te beheren informatie-assets van de organisatie en de bijbehorende risico's is met een Informatie Asset Register dat een catalogus biedt van informatie bewaard, waar het wordt opgeslagen, hoe het beweegt en wie het wordt gedeeld met.
Als je de gegevens identificeert, kan deze een worden toegewezen classificatie en de nodige bescherming als gevolg hiervan.
Informatieflow
Legale overwegingen
Instemming en toestemming
Privacy vermelding en –beleid
Een functionaris voor gegevensbescherming (DPO) is een bedrijfsveiligheid leiderschapsrol - ze zijn verantwoordelijk voor het toezicht op de gegevensbeschermingsstrategie en implementatie om naleving te waarborgen met GDPR-vereisten. De DPO-rol verschilt van die van de Chief Information Officer (CIO) en Chief Information Security Officer (CISO) rollen. De GDPR vereist de benoeming van een DPO in drie gevallen
Als de verwerking wordt uitgevoerd door een overheidsinstantie (behalve rechtbanken)
In privébedrijven waar de 'kernactiviteiten' uit bestaan bewerkingen die 'regelmatig en systematisch' vereisen monitoring "van betrokkenen' op grote schaal".
In "grootschalige" verwerking van gevoelige gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en misdrijven. Onze organisatie valt hier niet onder maar we nemen de aanbeveling van deze functie(s) op in onze roadmap.
Een organisatie moet een gedragscode en certificeringsmechanismen ontwikkelen om aan te tonen dat ze voldoen aan de AVG. De gedragscode moet online zichtbaar en toegankelijk zijn. Er zijn een aantal voordelen verbonden aan het hebben van een gedragscode; deze omvatten het vergroten van de transparantie en verantwoording, het verzachten van handhavingsmaatregelen en het verbeteren van normen door het vaststellen van de beste werkwijzen. Deze gedragscode is intern reeds aanwezig en zal ook op papier verder worden uitgewerkt.
In het kader van duidelijk en transparant communiceren, versturen wij ook deze boodschap.
- Privacy door design en standaardisering
Volgens de nieuwe verordening, risicogegevens met betrekking tot de privacy die van invloed zijn de rechten van een individu moeten worden geëvalueerd aan het begin van de project. De methode om dit te testen wordt een gegevensbeschermingseffect genoemd beoordeling (DPIA). Dit is een mogelijke benadering van de GDPR die helpt organisaties om te voldoen. Privacy en zijn overwegingen kan niet alleen door wetgeving worden gewaarborgd; het zou een moeten zijn fundamentele component die is geïntegreerd in projectrisico management, methodologieën en beleid. De dataprocessor en / of controller is vereist om de juiste technische te implementeren maatregelen om ervoor te zorgen dat de beginselen inzake gegevensbescherming worden nageleefd.
Onder de GDPR moeten individuen toestemming geven in een actieve, vrije en ondubbelzinnige manier. Dit betekent dat het gebruik van 'Opt-outs' is niet langer toegestaan op websites en onder de nieuwe regelgeving, individuen moeten 'opt-in', dat wil zeggen hun keuze moet expliciet zijn. Andere belangrijke veranderingen zijn onder meer het recht om te zijn vergeten en het recht op dataportabiliteit.
- Beveiliging van gegevensverwering
Gegevensbeveiligingsmaatregelen moeten ten minste het volgende toestaan:
Pseudonimiseren of coderen van persoonlijke gegevens.
Onderhouden van voortdurende vertrouwelijkheid, integriteit, beschikbaarheid, toegang en veerkracht van verwerkingssystemen en -diensten.
Herstel van de beschikbaarheid en toegang tot persoonlijke gegevens in de geval van een fysieke of technische inbreuk op de beveiliging.
Testen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking, inclusief Privacy Impact Assessments (PIA's).
GDPR creëert duidelijke regels voor de verantwoording over gegevens verwerking, vooral als het gaat om het definiëren van de verantwoordelijkheden van de 'gegevensbeheerder' en de 'gegevensverwerker'. Een organisatie of de partij die het doel en de middelen bepaalt van verwerking, worden beschouwd als de 'gegevenscontroleurs'. Hun externe leveranciers die persoonsgegevens verwerken namens de controller worden 'gegevensverwerkers' genoemd. De last voor de bescherming van persoonlijke gegevens zal voornamelijk liggen bij gegevenscontrollers. Contracten met gegevensverwerkers moeten worden beoordeeld en gewijzigd om ervoor te zorgen dat ze voldoen aan de GDPR-vereisten, ongeacht waar de dataprocessor zich bevindt.
Wij vragen aan al onze partners om het volgende document te ondertekenen. (invoegen pdf)
GDPR introduceert meer consistente en uitgebreide bescherming van persoonlijke gegevens waardoor personen en hun rechten worden beschermd in het hart van de hervormingen. Het recht op toegang, het recht om te zijn vergeten, het recht op dataportabiliteit en het recht om bezwaar te maken zijn slechts enkele van de wijzigingen ingekapseld in de regelgeving. Organisaties hebben de plicht om rechten van betrokkenen te communiceren.
We spreken met name over volgende rechten:
Toegang
Rectificatie: fouten herstellen
Recht om vergeten te worden
Draagbaar
- Datalek / Inbraak op de data
In overeenstemming met het principe van de verantwoording van de GDPR, moet een organisatie hun interne procedures en processen voor het melden van inbreuken ontwikkelen of bijwerken. Als er sprake is van een datalek die een risico vormt voor de rechten en vrijheden van een persoon, heeft de organisatie 72 uur om dit te melden. Functionarissen voor gegevensbescherming en sleutelpersoneel moeten worden betrokken bij de ontwikkeling van deze procedures, waarbij maatregelen worden overwogen om de schadelijke gevolgen van een inbreuk te verzachten. Bovendien moet een organisatie informatie over beveiligingsincidenten bijhouden. Dit omvat evaluaties van eventuele datalekken en het vastleggen van het besluit om het incident te melden aan het Information Commissioner's Office (ICO) en / of aan de personen.
Intern werd iedereen hiervan op de hoogte gebracht en ook onze partners, mede-verantwoordelijken voor het goede beheer van de gevoelige data, volgen ook deze GDPR-regelgeving.
Internationale organisaties moeten ervoor zorgen dat processen en procedures zijn aanwezig wanneer gegevens worden opgeslagen, verwerkt of gedeeld over de grenzen van de EU. De bepalingen van de AVG moeten dat wel zijn toegepast om ervoor te zorgen dat de bescherming van personen gegarandeerd wordt door de voorschriften worden niet ondermijnd. De internationale partners waarmee wij samenwerken zullen wij aansporen om zich ook in regel te brengen met de geldende wetgeving. Doch deze verantwoordelijkheid kunnen wij niet op ons nemen en blijft de plicht van de derde partij.
Voor sommige opdrachten is het mogelijk dat wij werken met bedrijven buiten de EU. De klant zal hiervan op de hoogte gebracht worden als er een uitwisseling is van persoonlijke informatie met een bedrijf dat gevestigd is in een van deze landen.
Organisaties moeten zich tussen nu en 25 mei 2018 voorbereiden voor de AVG en ervoor te zorgen dat zij zich aan de hervormingen houden. Deze keer moet worden gebruikt voor het plannen van beleid en procedures die beheren en aantonen van naleving. Alle aspecten van de GDPR zouden moeten zijn gecommuniceerd en begrepen door alle individuen binnen de organisatie.
GDPR Oplossingen die reeds ontwikkeld werden of ingevoerd
- Invoeren van een data- en informatiegebruik-memo en interne briefing
Alle interne medewerkers werden op de hoogte gebracht van het belang van de naleving van de GDPR regelgeving en het correct verwerken en registreren van persooonlijke en gevoelige informatie.
- Nieuwe (IT) ontwikkelingen, modules en toepassingen
In alles wat we technisch ontwikkelen houden we rekening met de bescherming van de persoonlijke data. Zo vragen we nooit om gegevens als deze niet van nut zijn om het gegeven advies en dienstverlening mogelijk te maken. We proberen de meest propere code te schrijven en gebruik te maken van software van derde partijen die dezelfde maatstaven hanteren. Een evaluatie van de risico’s en de mogelijkheden om datalekken te detecteren voeren we in aan de bron van de code.
- Invoering en gebruik van Team Leader
Om ook de data van onze klanten, partners en leveranciers en de gemaakte documenten (offertes, facturen, opvolging van sales gesprekken) goed te beheren werd TeamLeader ingevoerd.
- Invoering en gebruik van Clearfacts voor documentenuitwisseling boekhouding
Wat is
- Recht op dataportabiliteit en –mobiliteit
Het CRM systeem waarop de klant kan inloggen werd responsief omgebouwd zodat het bruikbaar is op de meeste mobiele apparaten en schermen. Dit is onafhankelijk van het besturingssysteem. Iedere gebruiker met toegang tot internet, login en wachtwoord en een recente internetbrowser kan toegang hebben tot alle beschikbare gegevens.
- Invoering van een documentenuitwisselingssysteem in een afgeschermde omgeving
Klanten en partners kunnen voortaan documenten bewaren in het gedeelde dossier, iedereen ziet hetzelfde. Geen mogelijkheid om een “verborgen” dossier aan te leggen. Bestanden mogen niet meer lokaal gearchiveerd worden.
- Optie om klantnamen te verberen toegevoegd
Om de privacy nog te verhogen werd er in het dashboard van een “Partner” een knop voorzien om klantnamen te verbergen (tijdens een gesprek bv met een andere klant kan een zoekopdracht namen naar bovenbrengen, op deze manier kan de klant die mee kan kijken op het scherm geen namen van andere klanten zien.
- Front-end aanpassingen voor informatie kennisgeving en communicatie aan de gebruiker rond GDPR en Privacy
Inlogscherm – Direct link in het hoofdmenu: “Log in op je dossier”
Regelmatige blogpost berichtgeving: Informatie rond GDPR
- Klanten inlogssyteem met eigen dashboard
De ingelogde KLANT of CONTACT binnen een KLANT, kan alle gegevens inzien zoals ze zijn bewaard in de database en zoals ze raadpleegbaar zijn door de toegewezen beheerder. (=Partner).
Indien een KLANT geregistreerd werd via meerdere partners dan heeft iedere Partner een apart klantendossier of het dossier wordt gedeeld.
De KLANT en alle CONTACTEN binnen een klant kunnen de gegevens raadplegen en er is een mogelijkheid om slechts 1 beheerder binnen een KLANT aan te maken die meer controle heeft dan de CONTACTEN. (deleten, wijzigen, toevoegen)
- Hardware vergrendeling en online data bewaring
Geen USB Sticks of externe hardeschijven, noch het gebruik van oplossingen in de "cloud", worden niet meer toestaan om persoonsgevoelige informatie te bewaren.
- Aanpassingen aan ons voordeelplatform
De inlogprocedure, die gebaseerd was op een persoonlijke account, werd nu geannonimiseerd op basis van een unieke code die niet gebonden is aan een persoonlijke account bij Het Financieel Huis BVBA.
Zo komen er ook geen persoonsgegevens meer te staan op de gedrukte of digitaal gegenereerde (pdf) "voordelen/vouchers/kortingen". Het beheer van de gegevens zit bij de gespecialiseerde aanbieder van dit platform, zijnde Merit&Benefits.
GDPR Oplossingen die nog ontwikkeld moeten worden volgens onze mening
- Deleten van records mogelijk maken op het niveau van de Partner en KLANT
Op dit ogenblik kan enkel de beheerder van het systeem dossiers of klantenrecords verwijderen. Klant moet zichzelf kunnen “laten vergeten”: "delete mijn dossier".
- Contactformulier om na te gaan welke informatie we beschikbaar hebben
"Neem contact op via dit formulier en wij laten je weten welke klantendossiers wij in ons bezit hebben met jouw informatie."
Vraag tot identificatie met 2-stappen-controle. (ID-kaart en telefonisch)
Optie om vergeten te worden voorzien.
- Contactformulieren aanpassen
Ik ben akkoord met de Algemene Gebruikersvoorwaarden die verbonden zijn aan deze website en de gekoppelde dienst, die de Algemene Verkoopsvoorwaarden volgt.
Ik ben op de hoogte van GDPR en geef uitdrukkelijk de toestemming om mijn gegevens te gebruiken zodat ik gebruik kan maken van de dienst.
- Aankoop van een 128 bit SSL versleuteling (ook voor online-betaling)
Op de domeinnaam die alles aanstuurt (www.ucoach.be) en op het domain www.hetfinancieelhuis.be en www.fwba.be
- Studie maken rond de invoering van indringer-identificatietechnologie.
- Studie maken rond DLL-technologie (Data leak protection)
- Aanstelling van een interne DPO officer bekijken
- Module voorzien om sterke wachtwoorden te creëren voor gebruikers
- Gedragscode uitschrijven rond het gebruik van persoonlijke informatie
Mocht je na het lezen van deze blogpost rond onze GDRP-roadmap nog vragen hebben, aarzel dan niet om contact op te nemen met ons.