Kinamo en GDPR

Op 25 mei 2018 gaat de Europese wetgeving van kracht rond de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation of GDPR. Er gaat de laatste tijd geen dag voorbij of je hoort wel iets rond GDPR. De afgelopen weken krijgt men dan ook bijna iedere dag wel een mail over de aanpassing van het privacy beleid.

Veiligheid en privacy zijn ook voor Kinamo een top prioriteit, ook wij voeren een aantal aanpassingen door aan ons privacy beleid en verduidelijken hoe wij omgaan met uw gegevens. Hier kan je lezen wat de Europese GDPR wetgeving betekent voor jouw verhouding tot Kinamo.

GDPR in een notendop

De Europese GDPR wetgeving is gebaseerd op 4 pijlers inzake privacy en gegevensbescherming: transparantie, verantwoording, consumentenrechten en meldplicht. We lichten even toe wat men hieronder dient te verstaan.

Transparantie 

Bedrijven moeten burgers informeren over hoe hun data wordt verzameld en verwerkt. Deze uitleg moet zo op een begrijpelijke manier geformuleerd zijn.
Hier vindt u de richtlijnen van de privacy commissie rond transparantie.

Verantwoording

GDPR introduceert de verplichting voor bedrijven om verantwoording af te leggen voor de verwerking van persoonsgegevens. Dat betekent dat u voor elke verwerking een doelstelling moet bepalen en een rechtsgrond moet documenteren over hoe u de verschillende principes van GDPR toepast. Hier vindt u meer informatie over de verantwoordingsplicht

Consumentenrechten

Naast de bestaande rechten (recht op informatie, toegang, correctie, en recht van verzet) introduceert GDPR onder andere het recht om vergeten te worden, het recht op overdraagbaarheid van gegevens en het recht om zich te verzetten tegen profilering. Hier vindt u meer informatie over de extra rechten die GDPR introduceert

Meldplicht

Bedrijven zijn verplicht een data lek te melden binnen de 48u, tenzij kan worden aangetoond dat het lek geen gevaar is voor de personen waarover gegevens werden verzameld.
Meer informatie over datalekken en hoe deze te melden vindt u hier.” rel=”nofollow” 

Uitbreiding begrip ‘persoonsgegevens’

Het begrip “persoonsgegevens” is ook uitgebreid met datatypes zoals IP-adressen en gevoelige data zoals gezondheidsgegevens of informatie over culturele achtergrond
Hier vindt u meer informatie over de invulling van persoonsgegevens volgens de privacy commissie

GDPR boetes

Wanneer de verzamelde data niet correct worden beheerd, er geen melding wordt gedaan van een ernstig data lek of er geen risico analyse volgt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet of tot 20 miljoen euro, afhankelijk van wat het hoogst is.

Op wie is GDPR van toepassing?

De GDPR is van toepassing op alle bedrijven en organisaties die persoonsgegevens van EU-burgers verwerken. Dus ook voor grote, en kleine bedrijven, éénmanszaken of verenigingen.

Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke om ervoor te zorgen dat zijn verwerker zich houdt aan de wetgeving inzake gegevensbescherming en verwerkers moeten zich zelf houden aan regels om registers bij te houden van hun verwerkingsactiviteiten.

Binnen de GDPR wetgeving betrekt Kinamo en rol als data beheerder (betreffende uw klantengegevens) en data verwerker (wij verwerken gegevens voor uw diensten op onze infrastructuur). Voor beide rollen hebben wij de nodige voorzieningen getroffen rond de bescherming van gegeven en privacy.

De gegevensbeheerder of “data controller” is de natuurlijke of legale persoon, publieke autoriteit, agentschap of instantie die alleen of met anderen het doel en de middelen bepaalt van verwerken van persoonlijke gegevens.

De gegevensverwerker of “data processor” is de natuurlijke of legale persoon of organisatie die de gegevens verwerkt in opdracht van de beheerder.

Bijvoorbeeld: als u gegevens verzamelt en bewaard voor marketing doeleinden (bijvoorbeeld via een formulier op uw website) bent u de gegevensbeheerder.
Doet u dit bijvoorbeeld via een ‘cloud provider’ dan moet ook deze ‘cloud provider’ in regel zijn met de GDPR wetgeving, zij zijn immers de gegevensverwerker (“data processor”).

Kinamo’s hulp voor uw GDPR compliance?

Het verzamelen van data is vanaf nu aan strenge regels onderworpen. De gebruiker moet expliciet zijn toestemming geven én heeft ten alle tijden het recht om zijn gegevens in te zien of te eisen dat deze verwijderd worden. Je kan dus best niet zomaar gegevenslijsten kopen of aanleggen zonder de nodige maatregelen te voorzien.

Als doorgewinterde cloud provider heeft Kinamo door de jaren heen grondige ervaring opgebouwd omtrent beveiliging van IT infrastructuren maar ook verwerking, beheer en logging van gegevens.
Is GDPR een “IT” only verhaal? Zeker niet… Wij zijn ons dan ook bewust van het feit dat het GDPR compliant krijgen van uw organisatie een frisse kijk vereist van uw ervaring als beheerder van uw eigen processen en de toegevoegde waarde van Kinamo voor het optimaliseren van de digitale processen in uw organisatie. Ontdek hier onze vorige blog post over ‘De impact van GDPR wetgeving op de KMO

Ook Kinamo heeft uiteraard zijn privacy beleid aangepast. U kan dit hier lezen. Voor meer informatie over ons privacybeleid of in geval van vragen in verband met de verwerking van uw persoonsgegevens, kan u contact opnemen met de Data Protection Officer van Kinamo via privacy@kinamo.be.