GDPR en je KMO

Privacy please

GDPR, een afkorting die we vandaag wel vaker gebruiken. Maar wat betekent het nu ook alweer? Voluit staat GDPR voor General Data Protection Regulation, of de bescherming van persoonsgegevens. Als bedrijf mag je enkel die gegevens verzamelen die je effectief nodig hebt, mits toestemming van de persoon in kwestie. De data moeten veilig bewaard worden en je moet steeds in staat zijn ze in te kijken, corrigeren of verwijderen. Worden de gegevens gehackt of is er een inbreuk, dan ben je verplicht de personen in kwestie te informeren. Doe je dat niet, kijk je tegen boetes aan die kunnen oplopen tot 20 miljoen euro… wil je niet meemaken voor je kmo. Better safe than sorry.

 

De complexiteit van GDPR

De aftrap voor de GDPR-wetgeving werd gegeven in 2018. Nu 4 jaar later blijkt het nog steeds zeer complex te zijn, zeker omdat bijna iedereen vandaag werkt met een (multi-)cloudomgeving. Als bedrijf ben je namelijk niet enkel verplicht om je eigen structuren GDPR-compliant te maken, je moet hetzelfde kunnen garanderen voor je leveranciers en partners. Geen eenvoudige klus, spreekt voor zich, als je weet dat een gemiddeld bedrijf al snel gebruikt maakt van enkele tientallen cloud-apps… Al die gegevens worden opgeslagen in native, hybride en multicloudomgevingen, allen buiten het traditionele netwerk van de onderneming. 

 

GDPR aanpakken als kmo

Hoe pak je GDPR dan best aan als kmo? Lijst in de eerste plaats alle cloud-apps op die je gebruikt. Overlappen ze elkaar? Beperk je dan tot de meest efficiënte. Ben je klaar met je overzicht, ga dan na waar de gegevens bewaard en gehost worden. Alle data van Europese burgers moeten of bewaard worden in de EU, zodat zij onder de Europese wetgeving op de privacy vallen, of op een plek waar dezelfde privacy garanties gelden. Is dat niet het geval, ligt de verantwoordelijkheid qua privacy bij jou. 

Zorg voor een goede beveiliging van de verzamelde gegevens en ga na of je cloud-apps die ook bieden. Laat je cloud-app leverancier een verwerkingsovereenkomst tekenen waarin hij duidelijk aangeeft GDPR-compliant te zijn. 

 

GDPR-compliant leveranciers

Wat zet je zoal in de verwerkingsovereenkomst met je cloud-app leverancier? 

  1. Dat de app-provider enkel die persoonlijke data van jouw gebruikers of medewerkers mag verzamelen die werkelijk nodig zijn voor de werking van de app, dus geen gevoelige gegevens zoals ras, etniciteit, politieke overtuiging of religie.
  2. De data mogen enkel gebruikt worden in het kader van de app en mogen niet met derden gedeeld worden, noch mogen ze langer bewaard blijven dan nodig of in een back-up bewaard blijven. 
  3. De gebruiker blijft eigenaar van zijn eigen data.
  4. De app-provider voorziet een procedure voor inzage door de gebruiker van de over hem verzamelde data.
  5. Tot slot worden alle data onmiddellijk verwijderd wanneer jij het gebruik van de dienst stopzet.

Bovenstaande is natuurlijk geen 100% sluitende garantie, maar toont in elk geval jouw juiste intenties.

Meer weten over GDPR-compliant cloud-oplossingen? Intercare IT Solutions @ your service.