Veelgestelde vragen over onze tool GDPR Folder

Bij het doorlopen van de vragenlijst moet u mogelijk 100 vragen beantwoorden, verdeeld over in totaal 13 rubrieken (van Profiel tot Behandelingsregister).

U kunt van de ene rubriek naar de andere navigeren met de pijlen "Vorige" of "Volgende" of gewoon "Opslaan" om al uw antwoorden tot nu toe op te slaan.

U kunt de vragenlijst dus in verschillende rondes beantwoorden en uw tijd nemen.

Door bovenaan op "Vragenlijst" te klikken, krijgt u een overzicht van alle rubrieken van de RGPD.

De ? op een achtergrond blauw betekent dat u nog niet klaar bent met het beantwoorden van de vraag.

De tekens groen betekenen dat de rubriek volledig is en dat er geen punten van niet-overeenstemming zijn.

Tot slot ! op de achtergrond rood betekent dat er problematische punten zijn in de betreffende sectie.

Idealiter zou alles groen moeten zijn!

In het algemeen kies je JA of NEE. Als u het niet weet of denkt dat deze vraag niet op u van toepassing is, geef dan geen antwoord en een ? achtergrond oranje wordt weergegeven.

Als uw antwoord juist is, ziet u een markering groen.

Integendeel, als het antwoord fout is, een ! op een achtergrond rood zal verschijnen.

Afhankelijk van uw antwoorden verandert uw nalevingsscore op de balk bovenaan uw dossier in real time.

Deze score geeft een indicatie van uw niveau van naleving op basis van uw antwoorden. Het is geen geen absolute score omdat de GDPR is gebaseerd op een reeks beginselen die moeten worden geïnterpreteerd en niet op een lijst van onveranderlijke criteria.

Als u grotendeels "in het groen" staat, betekent dit dat u zich redelijk aan de regels houdt. Integendeel, als er veel rood staat, betekent dit dat er belangrijke kwesties moeten worden aangepakt om aan de voorschriften te voldoen.

Alle vragen zijn opgesteld om de meest voorkomende gevallen in kleine en middelgrote ondernemingen te behandelen. Ze zijn niet specifiek voor een bepaald werkterrein.

Sommige vragen lijken misschien niet relevant of passend in uw geval. In de rubriek Operationele beveiliging staat bijvoorbeeld een vraag over een alarmsysteem om uw pand te beveiligen.

In het algemeen verdient een dergelijk systeem de voorkeur om uw gebouwen en dus uw gegevens te beveiligen. Anderzijds is het mogelijk dat uw pand niet hoeft te worden beveiligd omdat u zich al in een beveiligd complex bevindt (beveiligd gebouw, zakencentrum, winkelcentrum, enz.).

Wij raden u aan in dit soort gevallen de vraag onbeantwoord te laten (in dat geval verschijnt de vraag in oranje) om te voorkomen dat u een niet-conform antwoord krijgt dat niet noodzakelijkerwijs gerechtvaardigd is.

De GDPR heeft beginselen vastgesteld om persoonsgegevens te beschermen, maar de verordening geeft geen precieze en gedetailleerde regels om alle aspecten te bestrijken.

Deze beginselen moeten worden geïnterpreteerd bij het invullen van uw aanvraag: u moet onder meer rekening houden met de omvang en de aard van uw bedrijf.

De HR-bepalingen moeten er bijvoorbeeld voor zorgen dat het personeel regelmatig bewust wordt gemaakt van de kwestie en er een opleiding in krijgt. De gebruikte middelen zullen noodzakelijkerwijs bescheidener zijn voor zeer kleine ondernemingen dan voor ondernemingen met tientallen werknemers. Bij een inspectie voor een klein bedrijf zal het gemakkelijker zijn een rood of oranje antwoord te rechtvaardigen.

De vragenlijst geeft u op een bepaald moment een "beeld" van de naleving van de RGPD. Hiermee kunt u uw voorzieningen op dit gebied documenteren en uw stappen verantwoorden in geval van een inspectie.

Het is de bedoeling dat u het proces in eigen handen neemt en verder gaat door uw dossier regelmatig bij te werken.

Het feit dat u de tijd hebt genomen om uw dossier serieus in te vullen, toont al aan dat u bereid bent persoonlijke gegevens te respecteren en te beveiligen.

NEE, GDPR FOLDER is een declaratie-instrument en het is aan u om het dossier oprecht te beantwoorden en in te vullen.

Onze tool controleert uw procedures niet en verifieert uw verklaringen niet.

Wij controleren uw activiteit niet, maar ons instrument is overgenomen door organisaties om hun leden toe te rusten, wat getuigt van de ernst en de kwaliteit van de aanpak.

Het is belangrijk om regelmatig terug te komen om te controleren of uw dossier nog actueel is. Er zijn twee redenen waarom het moet worden bijgewerkt:

• uw activiteit is geëvolueerd en u moet een nieuw verwerkingsformulier invullen, bijvoorbeeld
• Wij hebben het RGPD-dossier aangepast aan de ontwikkeling van de verordening. Zie de bijgewerkte sectie in de blog

Zodra de vragenlijst is ingevuld, kunt u onmiddellijk de niet-conforme antwoorden zien door op het rode gedeelte van de nalevingsbalk te klikken. U kunt beginnen deze punten aan te pakken.

U kunt dan de antwoorden in oranje (de antwoorden die wij niet hebben beantwoord) bekijken.

Voor sommige vragen vragen wij u bepaalde stappen te rechtvaardigen door een document bij uw dossier te voegen. U hoeft alleen maar het desbetreffende document op uw computer te gaan halen, bijvoorbeeld in PDF-formaat. Dit kan het geval zijn voor uw privacybeleid.

Als u niet over een dergelijk document beschikt, klikt u op NEE en stellen wij u een model voor om u in orde te brengen. U hoeft de inhoud alleen maar te kopiëren, aan te passen aan uw bedrijf en op een intern document te zetten dat u vervolgens bij uw dossier kunt voegen.

Het is heel goed mogelijk, en zelfs wenselijk, om uw naleving in verschillende fasen uit te voeren. U kunt dus verschillende keren naar uw dossier terugkeren om de informatie te verduidelijken en aan te vullen.

Zorg er telkens voor dat je je antwoorden opslaat door op de knop in het midden onderaan te klikken. Hierdoor wordt uw bestand telkens automatisch bijgewerkt.

opeenvolgende versies van uw bestand worden bewaard. 

vergeet niet om, zelfs wanneer u klaar bent met het invullen van het dossier, regelmatig terug te komen om te controleren of het nog steeds overeenstemt met de realiteit van uw organisatie en de wetgeving.

U kunt uw bestand zo vaak als u wilt downloaden om het als PDF op uw computer of netwerk te bewaren. Selecteer gewoon het tabblad BESTAND bovenaan de pagina en genereer een bijgewerkte versie.

Je hoeft alleen maar de laatste versie te downloaden.

Opeenvolgende versies worden bewaard en blijven beschikbaar in de tool.

Wij stellen voor dat u begint met het gedeelte over de functionaris voor gegevensbescherming en eindigt met het register van verwerkingen. Zodra u het Register van Verwerkingen hebt ingevuld, moet u misschien teruggaan en uw Privacybeleid herzien, maar dit is van weinig belang.

U kunt een andere volgorde kiezen die u beter uitkomt, dit heeft geen invloed op uw sollicitatie.

Het is verplicht een DPO aan te stellen wanneer u tot de overheidssector behoort of wanneer u een grote hoeveelheid persoonsgegevens verwerkt (meer dan 10.000 betrokkenen) of wanneer u veel gevoelige gegevens verwerkt (gezondheid, politiek, filosofisch, enz.).

Het kan echter nuttig zijn om een externe DPO te hebben om u te helpen met hun ervaring en om uw vragen te beantwoorden.

De functionaris voor gegevensbescherming heeft een adviserende en controlerende rol.

• Het adviseert de organisatie over naleving
• Het houdt onafhankelijk toezicht op de naleving

Wanneer de aanstelling van een DPO niet verplicht is, is het niettemin raadzaam een interne persoon aan te wijzen die belast is met de naleving van de RGPD.

Deze persoon kan elke werknemer van de organisatie zijn

De functionaris voor gegevensbescherming moet onafhankelijk zijn van het management van de organisatie.

Hij/zij kan niet de leider van de organisatie zijn, noch lid van de directie.

Dit is uitgebreide informatie aan het personeel over de RGPD. Het formulier is gratis en kan één of twee pagina's lang zijn. Dit document moet de algemene context van de RGPD, de gevolgen voor het bedrijf en bepaalde aandachtspunten uitleggen zonder in detail te treden.

Deze bepaling heeft vooral betrekking op ondernemingen van een bepaalde omvang en structuur die hun aanpak van het onderwerp moeten formaliseren. Het is de bedoeling dat het onderwerp regelmatig door het management en de uitvoerende teams wordt bekeken.

Dit geldt ook voor zeer kleine organisaties of zelfstandigen die regelmatig de balans moeten opmaken. Er wordt echter minder verwacht in termen van formalisering.

Deze vraag betreft bedrijven die persoonsgegevens verwerken voor statistische en marketingdoeleinden: datamining, algoritmen, scoring, risicobeoordeling, marketing targeting, enz.

Voor dit soort onderzoek moeten de persoonsgegevens worden geanonimiseerd om mogelijke risico's te vermijden.

Typisch is dat niet iedereen toegang heeft tot alle gegevens. Gebieden moeten worden "gecompartimenteerd" om te voorkomen dat bijvoorbeeld iedereen toegang heeft tot HR- of boekhoudkundige gegevens.

Daarom moeten aan elke contactpersoon verschillende rollen met specifieke toegangsrechten worden toegekend.

Als uw bedrijf servers op het terrein heeft staan, is het bijzonder belangrijk om de fysieke toegang tot deze machines te beveiligen.

Deze oplossingen bieden in het algemeen een goed beveiligingsniveau, maar het verdient aanbeveling gebruik te maken van Europese bedrijven die eerder geneigd zijn de RGPD na te leven.

Of de servers nu in huis of uitbesteed (cloud) zijn, u moet een beleid hebben om regelmatig back-ups te maken van uw gegevens met de mogelijkheid deze te herstellen in geval van een incident. Dit is een punt om te bespreken met het hostingbedrijf.

Dit kan bijvoorbeeld betrekking hebben op de hosting van de website of bepaalde zakelijke toepassingen.

In kleine organisaties kan één persoon wachtwoorden "centraliseren" om te kunnen reageren op verzoeken van klanten in geval van afwezigheid van een werknemer.

Hoewel dit in zeer kleine structuren tijdelijk kan worden "getolereerd", is het vanuit het oogpunt van gegevensbeveiliging gevaarlijk.

Het verdient aanbeveling een instrument, een derde of een dienstverlener te gebruiken die tijdelijk toegang geeft tot de rekeningen en ervoor te zorgen dat de afwezige persoon wordt ingelicht.

Het is wenselijk, maar niet verplicht, om persoonsgegevens te versleutelen om te voorkomen dat een kwaadwillende gemakkelijk toegang krijgt.

Dit geldt met name voor gevoelige, zeer "volumineuze" gegevens of gegevens die regelmatig van het ene systeem naar het andere zouden worden uitgewisseld.

Hierbij wordt meestal een encryptietool gebruikt.

Het is wenselijk een proces te hebben voor werknemers die de organisatie verlaten. Dit omvat het archiveren en/of verwijderen van gegevens, het afsluiten van de toegang tot het netwerk en de interne hulpmiddelen, het verwijderen van wachtwoorden, enz.

Het is gebruikelijk dat IT-teams toegang vragen om bepaalde problemen op uw machine op te lossen. Dit is aanvaardbaar zolang er een duidelijke overeenkomst is telkens wanneer een instrument voor toegang op afstand wordt gebruikt.

Het is echter niet aan te raden de gratis versies van dergelijke tools te gebruiken of ze systematisch (zonder verificatie) te gebruiken.

Of het nu gaat om een eenvoudige showcase-site of een transactiesite, uw website moet beveiligd zijn om uw gegevens en die van uw klanten veilig te houden.

Uw webhost of het bureau dat uw site heeft ontworpen zal het nodige kunnen doen.

Er zijn verschillende aspecten waarmee rekening moet worden gehouden:

• Installeer een SSL-certificaat (om uw site naar HTTPS te schakelen)
• Gebruik veilige wachtwoorden
• Werk uw site en zijn plugins regelmatig bij
• Instellen van dagelijkse back-ups

De meeste websites plaatsen cookies of trackers om ervoor te zorgen dat de site naar behoren functioneert, soms om de ervaring te personaliseren volgens het profiel van de bezoeker of om hen te retargeten voor marketingdoeleinden.

In elk geval moet u uw bezoekers informeren en hun de mogelijkheid bieden deze cookies te aanvaarden of te weigeren. Wij bieden u een tekst waarmee u uw bezoekers kunt informeren.

Neem voor het beheer van cookies contact op met uw webhost of agentschap, die u kunnen adviseren en de juiste oplossing kunnen implementeren.

Op uw site kunt u persoonlijke gegevens verzamelen, zoals naam / voornaam / bedrijf / e-mail / telefoon... Dit kan via een contactformulier of door het aanbieden van een nieuwsbrief enz.

U moet de persoon altijd informeren dat zijn gegevens worden verzameld en kunnen worden verwerkt en de verwerking schetsen.

De beoogde persoon moet toestemming kunnen geven voor de verwerking, bijvoorbeeld door een opt-in vakje aan te kruisen.

Dit is een verplicht onderdeel van de RGPD, ook wel beleid inzake de bescherming van persoonsgegevens genoemd. Het is noodzakelijk wanneer gegevens worden verzameld, wat het geval is voor alle sites (ten minste IP-adres...). Een beleid is ook nodig in gevallen waarin gegevens worden verzameld op fysieke locaties, bijvoorbeeld wanneer de klant het kantoor, het filiaal, het verkooppunt bezoekt...

Dit document moet worden geschreven om de bezoekers van uw site (uw prospects, klanten, partners) te informeren over uw beleid inzake het verzamelen en beschermen van persoonsgegevens. Het staat meestal in de voettekst van de pagina naast de juridische mededeling.

Het moet voor iedereen gemakkelijk te begrijpen zijn. Het moet met name betrekking hebben op het soort verzamelde gegevens, de rechtsgrondslag voor deze verzameling, de bewaartermijnen, de rechten van de betrokkenen, enz.

Het volstaat niet om een algemeen document te hebben waarin in een paar regels staat dat gegevens worden verzameld en bewaard zolang dat nodig is. Het moet specifiek zijn over de duur en de modaliteiten en alle gegevens bevatten die door artikel 13 van de GDPR worden vereist.

Bij het verzamelen van gegevens moet aan de betrokkenen een passend privacybeleid worden aangeboden.

Wij bieden u een sjabloon dat u kunt aanpassen aan uw activiteit en dat dit kader volgt.

Dit document, dat verplicht is voor alle professionele websites, is de "identiteitskaart" van uw website. Over het algemeen zijn deze vermeldingen één pagina lang en staan ze in de voettekst van de site. De site Service-public.fr geeft aan wat nodig is.

Wettelijke kennisgeving op de website van Service Public

Het bedrijf heeft twee algemene verplichtingen: de werknemers informeren en opleiden over persoonsgegevens.

Of het nu gaat om persoonsgegevens op papier of op digitale media (e-mail, intranet, enz.), het bedrijf moet zijn werknemers informeren over het onderwerp van de RGPD door de basisbeginselen, de gevolgen voor het bedrijf en de te volgen procedure aan te geven.

Bij de HR-procedures is het belangrijk dat het onderwerp persoonsgegevens uitdrukkelijk wordt opgenomen/besproken wanneer nieuwe werknemers worden aangenomen. Er kan worden verwezen naar de reeds genoemde interne documenten.

Aanbevolen wordt de ontvangst van deze documenten te ondertekenen.

Als u regelmatig werkt met mensen die geen werknemers zijn, maar die uw instrumenten, gebouwen en processen gebruiken, en nog meer als het om een exclusieve relatie gaat, moeten zij vanuit het oogpunt van de RGPD als werknemers worden beschouwd.

Deze mensen moeten immers als werknemers uw klantgegevens beheren, verwerken en gebruiken. De HR-bepalingen van de GDPR zijn van toepassing.

Als het om incidentele diensten gaat, moet u ze als onderaannemers beschouwen.

Elke persoon, ongeacht of u zijn persoonsgegevens hebt verzameld of niet, heeft het recht u om toegang tot de verzamelde gegevens te vragen. In geval van gegevensverzameling hebben deze personen ook het recht om deze gegevens te laten corrigeren als ze onjuist zijn, en zelfs om u te vragen ze te wissen. U hebt één maand de tijd om te reageren.

Zoals bij elke organisatie heeft u waarschijnlijk bestanden of databanken met persoonsgegevens waarvan u niet meer weet of u toestemming heeft gekregen om de gegevens van deze personen te verwerken. Het is daarom noodzakelijk deze bestanden te inventariseren en na te gaan of u deze gegevens in overeenstemming met de RGPD kunt verwerken.

De bepalingen in dit deel zijn bedoeld voor al uw databases (CRM, facturering, enz.), ook al kunnen de regels per tool enigszins verschillen.

Het is de bedoeling dat het bedrijf al zijn databanken bekijkt om in elk geval na te gaan of de RGPD wordt nageleefd.

De meeste zakelijke tools en software hebben de nodige stappen ondernomen om aan de RGPD te voldoen. Naast het beveiligen van gegevens kunt u hiermee gedifferentieerde rechten beheren, toegang krijgen en zelfs gegevens verwijderen in overeenstemming met de verordening.

In de loop van uw bedrijf hebt u wellicht toegang tot verschillende compliant tools en software.

Dit betekent niet dat u niet hoeft te voldoen, want het zijn de procedures die rond deze instrumenten zijn ingesteld die belangrijk zijn. U bent het bijvoorbeeld die klanten en prospects contacteren als ze hun gegevens willen wissen. En u zult waarschijnlijk gegevens moeten kopiëren, exporteren en omzetten van het ene instrument naar het andere.

Met andere woorden, het feit dat u mogelijk conforme instrumenten gebruikt, betekent niet dat u er niet aan hoeft te voldoen.

Een datalek is een ongeoorloofde toegang, verlies van gegevens, diefstal van gegevens, vernietiging van gegevens, kortom een beveiligingsprobleem.  

Het is essentieel om te weten dat u 72 uur hebt om een beslissing te nemen om het datalek te verhelpen, indien mogelijk. 

• ervan uitgaan dat het probleem is opgelost en dat er geen risico is voor de betrokkenen (bijvoorbeeld als een verloren pc snel is teruggevonden)
• u vindt dat er een probleem is voor de betrokken personen en daarom stelt u de CNIL op de hoogte
• oordelen dat er een ernstig probleem is (bv. openbaarmaking van gezondheidsgegevens) voor de betrokken personen en u moet dan de CNIL op de hoogte brengen en de betrokken personen

Zodra u uw beslissing heeft genomen en eventueel de CNIL en/of de betrokken personen heeft geïnformeerd, is het belangrijk de nodige maatregelen te nemen om ervoor te zorgen dat dit incident zich niet meer voordoet.

Een verwerker is een leverancier die voor u en volgens uw instructies gegevens verwerkt. Een marketingbureau dat voor u een e-mailcampagne uitvoert, is bijvoorbeeld een verwerker.

De gemakkelijkste manier om verwerkers in de zin van de RGPD te identificeren is uit te gaan van de lijst van leveranciers, aangezien alle verwerkers leveranciers zijn. Het volstaat om te zoeken naar degenen die gegevens voor u en volgens uw instructies verwerken. U moet hen dan de onderaannemingsovereenkomst sturen die u wordt voorgesteld door GDPRFolder.

Als uw onderaannemer een groot bedrijf is zoals OVH, Google of anderen, heeft het uiteraard geen zin om hen uw onderaannemingscontract te sturen. Het is raadzaam het contract dat zij aanbieden op hun website te zoeken, het te downloaden en in uw dossier op te nemen.

Als u gegevens verwerkt namens een andere organisatie, zoals bijvoorbeeld een webbureau of een koeriersbedrijf, zullen de voor de verwerking verantwoordelijken u een onderaannemingsovereenkomst aanbieden. Als u het accepteert, ondertekent u het en stopt u het in uw dossier.

Natuurlijk kunt u de wettigheid van dit contract laten controleren door een advocaat als u dat wenst. Als u het ondertekent, voeg het dan toe aan uw dossier.

In geval van aanzienlijke gegevensverwerking of gevoelige gegevens moet, zoals de CNIL bepaalt, een effectbeoordeling (AIPD) worden uitgevoerd. 

Dit is vrij zeldzaam, aangezien het midden- en kleinbedrijf zich zelden in gevallen bevindt waarin deze actie noodzakelijk is. In geval van twijfel moet u echter nagaan wat de CNIL zegt.

Een van de eerste doelstellingen van de RGPD is bedrijven aan te moedigen de gegevensverwerking binnen hun organisatie te inventariseren om deze verwerking te beveiligen en het verzamelen en verwerken van gegevens tot een minimum te beperken (door af te zien van onnodige gegevensverzameling en overbodige of onnodige gegevens te verwijderen). Dit wordt een gegevensverwerkingskaart genoemd.

Het register van verwerkingsoperaties maakt het mogelijk dit werk samen te vatten door de gegevensverwerkingsoperaties en hun kenmerken te presenteren. Elke verwerking wordt gedocumenteerd met een verwerkingskaart waarop de betrokken gegevens, het doel, de bewaartermijnen, enz. staan vermeld.

Om het proces te vereenvoudigen, hebben wij reeds een aantal "standaard" behandelingsbladen gedefinieerd voor bedrijven zoals het uwe.

Sommige worden automatisch in uw dossier opgenomen, terwijl andere op verzoek kunnen worden toegevoegd.

Mogelijk moet u nieuwe records toevoegen die niet beschikbaar zijn in de standaard records die worden aangeboden

Met de blauwe knop rechtsonder kunt u een nieuw ad-hocbehandelingsformulier genereren. U hoeft alleen de verschillende aangegeven velden in te vullen om een nieuwe behandelingsvorm specifiek voor uw activiteit toe te voegen.