GDPR Checklist

GDPR

Test uw GDPR-kennis!

1. Heeft u een privacy policy?
Klik hier voor een voorbeeld


Bedrijf X heeft een privacy policy/informatiebeveiligingsbeleid opgesteld, waarin o.a. de volgende onderdelen zijn opgenomen:

• Persoonsgegevens van medewerkers zijn als zeer vertrouwelijk gekenmerkt;
• Er zijn maatregelen getroffen om vertrouwelijke gegevens te beveiligen, zoals het beperken van toegang tot deze gegevens;
• Medewerkers mogen gegevens niet voor andere doeleinden gebruiken dan voor het werk dat zij verrichten;
• Een directielid is verantwoordelijk gesteld voor het toezien op de naleving van de maatregelen en op het compliant zijn aan de GDPR.

2. Beschikt u over een procedure meldplicht datalekken?
Klik hier voor een voorbeeld


In het verleden is een medewerker van Bedrijf X een USB-stick verloren, waarbij misbruik is gemaakt van de persoonsgegevens die op deze USB stonden. Dit heeft ertoe geleid dat personen uit de database van het bedrijf (o.a. klanten en partners) ongevraagd door een marketingbedrijf zijn benaderd voor een verkooppraatje. Het bedrijf is het afgelopen jaar druk bezig geweest met het opstellen van een procedure meldplicht datalekken, zodat zij in de toekomst weet welke stappen er genomen moeten worden in geval van een dergelijk datalek. In de procedure is onder andere het volgende opgenomen:

• Het verschil tussen een beveiligingsincident en een datalek: een beveiligingsincident is een datalek indien de bescherming van persoonsgegevens is doorbroken, waarbij de gegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens;
• Beveiligingsincidenten worden altijd geregistreerd in een registratietool;
• Bij een datalek wordt dit zo spoedig mogelijk, maar in ieder geval binnen 72 uur, gemeld bij de Autoriteit Persoonsgegevens;
• Bij een datalek wordt een risico-inschatting gemaakt en worden betrokkenen zo nodig op de hoogte gesteld;
• Voorbeelden van incidenten die kunnen leiden tot een datalek, waaronder het verliezen van een USB-stick, een inbraak door een hacker, een malwarebesmetting of een calamiteit zoals brand in het datacentrum.

3. Houdt u een register per verwerking bij van alle verwerkingen van persoonsgegevens, inclusief de categorieën die onder uw verantwoordelijkheid worden verwerkt?
Klik hier voor een voorbeeld
Bedrijf X houdt een overzicht bij van de persoonsgegevens die worden verwerkt. Per verwerking zijn in dit overzicht een aantal gegevens opgenomen zodat duidelijk is dat elke verwerking een doel heeft, de beveiliging voldoende gewaarborgd is en de gegevens volgens de wettelijke bewaartermijn worden bewaard. In dit register is per verwerking ten minste het volgende opgenomen:
• Naam en contactgegevens gezamenlijke verwerkingsverantwoordelijken
• Doel van de verwerking
• Categorie van betrokkenen
• Categorie van persoonsgegevens
• Categorie van ontvangers van persoonsgegevens
• Doorgifte aan een derde land of internationale organisatie (zo ja, documenten inzake passende waarborgen)?
• Termijn waarbinnen gegevens moeten worden gewist
• Beveiligingsmaatregelen

4. Is één of meerdere van onderstaande onderdelen van toepassing op de verwerking(en) die u doet van persoonsgegevens?

– U heeft een wettelijke verplichting om persoonsgegevens te verwerken.
– U verwerkt persoonsgegevens in het kader van de uitvoering van een contract.
– Er is sprake van een vitaal belang voor de betrokkenen.
– U heeft expliciete toestemming ontvangen van de betrokkenen om zijn/haar persoonsgegevens te mogen verwerken.
Klik hier voor een voorbeeld

Voor het verwerken van de data van medewerkers of klanten heeft bedrijf X een wettelijke verplichting om persoonsgegevens te verwerken. Indien het bedrijf de gegevens van de klanten bijvoorbeeld ook wil gebruiken voor het versturen van nieuwsbrieven, dient zij voor deze verwerking expliciet toestemming te vragen van de klanten.

5. Kunt u ook met minder persoonsgegevens uw doelstellingen bereiken?
Klik hier voor een voorbeeld

Per verwerking dient Bedrijf X na te gaan of het doel niet met minder persoonsgegevens kan worden bereikt.

6. Heeft u maatregelen getroffen om de kwaliteit (juistheid en actualiteit) van persoonsgegevens te waarborgen?
Klik hier voor een voorbeeld

Bedrijf X heeft verschillende maatregelen getroffen om te waarborgen dat de gegevens van de medewerkers of klanten correct en actueel zijn. De gegevens van een nieuwe medewerker controleert bedrijf X aan de hand van een origineel identiteitsdocument.

Met het opgegeven Burger Service Nummer (BSN) van de medewerkers wordt een check gedaan, de zogeheten elfproef, om te bepalen of het opgegeven BSN bestaat, hetgeen overigens nog niet betekent dat het het juiste BSN is.

7. Is de toegang tot persoonsgegevens binnen uw systemen ingericht volgens het ‘need-to-know’-principe?
Klik hier voor een voorbeeld

Medewerkers van de afdeling ‘Onderhoud en reparatie’ van bedrijf X hebben toegang tot de aanvragen van de klanten en de bijbehorende persoonsgegevens van de contactpersonen. Medewerkers van de afdeling ‘Crediteuren’ van bedrijf X zijn verantwoordelijk voor het maandelijks betalen van leveranciers voor de geleverde diensten. Voor het uitoefenen van hun functie hoeven zij geen toegang tot de persoonsgegevens van de medewerkers of klanten te hebben. Om deze reden hebben zij geen toegang tot bepaalde applicaties.

8. Zijn bij het ontwerp en inrichting van uw IT-infrastructuur en IT-architectuur voldoende beveiligingsmaatregelen ingericht om te zorgen dat ongeautoriseerde toegang tot persoonsgegevens zoveel mogelijk wordt voorkomen?
Klik hier voor een voorbeeld

Om te zorgen dat medewerkers die geen toegang hoeven te hebben, daadwerkelijk geen toegang krijgen, is toegang tot de applicaties beveiligd met een unieke gebruikersnaam en wachtwoord. Het wachtwoord dient uit minimaal 10 karakters te bestaan, moet minimaal een letter, een cijfer en een teken te bevatten en moet om de drie maanden gewijzigd worden.

De applicaties zijn alleen toegankelijk vanaf het interne netwerk van bedrijf X. Als medewerkers van bedrijf X thuis willen werken, kunnen zij met een VPN-verbinding toegang krijgen tot het interne netwerk. Hiervoor is twee-factor authenticatie vereist, wat inhoudt dat de medewerker naast de gebruikersnaam en het wachtwoord met een extra verificatiemiddel (bv. soft-token) dient in te loggen.

Bedrijf X maakt daarnaast gebruik van antivirussoftware om virussen tegen te gaan. Ook zijn maatregelen getroffen om te zorgen dat toegang van buitenaf (door onbevoegden) is afgeschermd. De webservers van de applicaties zijn in beheer bij een externe partij en zij hebben maatregelen genomen om de beveiliging te waarborgen, zoals het gebruik van firewalls, netwerksegmentatie (de webserver is in een DMZ geplaatst) en het bewaken van de fysieke toegang tot het pand en de servers.

9. Worden persoonlijke digitale identifiers, zoals BSN of IP-adressen, gepseudonimiseerd opgeslagen of verzonden?
Klik hier voor een voorbeeld

Voor de verwerking van aanvragen worden geen persoonlijke digitale identifiers gebruikt. Echter voor de communicatie met de belastingdienst dienen BSN gebruikt te worden. Het BSN is een voorbeeld van een persoonlijke digitale identifier, omdat het een uniek en tot de persoon herleidbaar nummer is. Bedrijf X slaat het BSN gepseudonimiseerd op, wat inhoudt dat het nummer onleesbaar wordt gemaakt met een cryptografische hashfunctie.

10. Worden bijzondere gegevens versleuteld opgeslagen?
Klik hier voor een voorbeeld


Onder bijzondere gegevens wordt onder andere verstaan godsdienst, ras, seksuele voorkeur, gezondheid, lidmaatschap van een vakvereniging en strafrechtelijk gedrag, maar ook biometrische gegevens, zoals vingerafdrukken, stem, handschrift en scans van het netvlies.

Bedrijf X heeft ervoor gekozen bijzondere gegevens te versleutelen. Het versleuteld opslaan van gegevens houdt in dat gegevens op basis van een algoritme niet leesbaar zijn voor onbevoegden. Voor analyse en controledoeleinden worden gegevens geanonimiseerd en alleen geaggregeerd weergegeven. Geanonimiseerde gegevens zijn geen persoonsgegeven en vallen niet onder de GDPR.

11. Zijn betrokkenen op de hoogte gesteld van hun recht om hun gegevens in te zien, te corrigeren en te laten verwijderen? Ook hebben betrokkenen recht dat hun gegevens op eenvoudige wijze kunnen worden overgedragen aan een andere verantwoordelijke. Kan uw organisatie daadwerkelijk aan deze verzoeken voldoen?
Klik hier voor een voorbeeld

In de algemene voorwaarden van bedrijf X is opgenomen dat de betrokkenen (klanten en potentiële klanten) het recht hebben hun gegevens in te zien, te corrigeren en te laten verwijderen. Aangezien bedrijf X in het register heeft opgenomen waar persoonsgegevens zijn opgenomen (in welke systemen) kan zij gemakkelijk aan dergelijke verzoeken voldoen. Hierbij dient zij wel rekening te houden met overige (wettelijke) verplichtingen of belangen van derde partijen waardoor het verwijderen van gegevens of inzage niet is toegestaan. Financiële gegevens dienen bijvoorbeeld 7 jaar bewaard te worden en mogen niet verwijderd worden.

12. Heeft u de verwerkingsactiviteiten van persoonsgegevens uitbesteed? Zo ja, heeft u een verwerkersovereenkomst afgesloten met de derde partij?
Klik hier voor een voorbeeld

Bedrijf X heeft een verwerkersovereenkomst afgesloten met haar track-and-trace leverancier. In deze overeenkomst hebben zij opgenomen:

• welke activiteiten onder de verantwoordelijkheid van de woningcorporatie door de service provider worden uitgevoerd
• hoe de service provider met de gegevens omgaat
• de maatregelen die de service provider heeft genomen om de beveiliging van de gegevens te waarborgen
• het recht van Bedrijf X om de track-and-trace leverancier te auditen

Neem contact met ons op voor een model verwerkersovereenkomst voor uw track-and-trace dienstverlening met RAM.

13. Laat u periodiek een Privacy Impact Assessment (PIA) uitvoeren?
Klik hier voor een voorbeeld

Bedrijf X test momenteel een grote update voor de applicatie ‘Reparatieapp’ waardoor de applicatie nog beter beveiligd wordt. Omdat dit een grote systeemaanpassing is die mogelijk impact heeft op de privacy van de betrokkenen, laat bedrijf X een Privacy Impact Assessment (PIA) uitvoeren op dit systeem door een externe auditor. Met behulp van de uitkomsten van de PIA kunnen risico’s vroegtijdig gemitigeerd worden.

14. Heeft u binnen uw eigen organisatie een functionaris voor gegevensbescherming (Data Privacy Officer, oftewel DPO) aangesteld die toezicht houdt op de verwerking van persoonsgegevens?
Klik hier voor een voorbeeld

De functionaris van bedrijf X ziet toe op de omgang met persoonsgegevens binnen de organisatie en controleert of de organisatie voldoet aan de GDPR en toepasselijke regelgeving.

Is uw organisatie verplicht een DPO aan te stellen? Lees meer.

Het aanstellen van een functionaris voor gegevensbescherming (DPO) is verplicht in drie situaties, zo staat in artikel 37 van de Verordening:

1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; Overheidsinstanties dus (rechtbanken zijn kort gezegd vrijgesteld van toezicht wegens de rechterlijke onafhankelijkheid).

2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; Het moet dus gaan om het uitvoeren van regelmatige en stelselmatige observatie op grote schaal van betrokkenen. Te denken valt aan recherchebureaus, maar ook aan internetbedrijven die diensten aanbieden om websitebezoek zeer gedetailleerd te monitoren (analytics).

3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van [bijzondere en strafrechtelijke persoonsgegevens]; dit zijn bijvoorbeeld persoonsgegevens over ras, seksuele voorkeur of politieke gezindheid.

 

15. Heeft u een overzicht van eventuele sectorale wet- en regelgeving die van belang kunnen zijn naast GDPR? (politie- en opsporingsdiensten, medische sector, strijdkrachten, journalistiek en media, telecom sector etc.)
Klik hier voor een voorbeeld

Naast de GDPR is ook andere wetgeving van toepassing op bedrijf X. De data privacy officer heeft een overzicht opgesteld van alle wetgeving waar de woningcorporatie aan moet voldoen. Zo hebben zij onder andere te maken met diverse wetgeving en dienen zij, net als iedere ondernemer, te voldoen aan de fiscale bewaarplicht waar verplicht wordt gesteld dat financiële gegevens 7 jaar bewaard blijven.

 

Disclaimer

Deze GDPR checklist is mede mogelijk gemaakt door Eset en Mazars. Er kunnen geen rechten aan ontleend worden. De checklist bevat uitsluitend algemene informatie.