Privacy en gegevensbescherming:
in conflict met de GBA

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Fraudebestrijding binnen de eigen organisatie

Webinar on demand

Privacy, gegevensbescherming en arbeidsrecht

Webinar on demand

Maakt mijn cloudsoftware mij GDPR conform? (Ubora)

Auteurs: Rolf Vermeulen, Bart Ocket en Karel Mol (Ubora)

Mijn cloudsoftware bevat al mijn klanten. En nadat een klant geregistreerd werd in het systeem krijgt hij daar automatisch een berichtje over. Dus ik ben in orde met GDPR en moet hiertoe zelf niets doen….

Dit is een van de hardnekkigste en gevaarlijkste misvattingen die we horen tijdens onze vele contacten met bedrijven en instellingen.

Als bedrijf of organisatie blijf jij altijd de verwerkingsverantwoordelijke, terwijl die aanbieder van cloudsoftware enkel maar jouw verwerker is. Dus ben jijzelf weldegelijk compleet verantwoordelijk voor de GDPR conforme verwerking van persoonsgegevens. Een verwerking kan bestaan uit zowel het bijhouden, bewerken, uitwisselen, raadplegen, tijdig wissen als vele andere handelingen.

Gebruik je gelijk welke cloudsoftware voor het bijhouden van gegevens over klanten, prospecten, sollicitanten, huurders, eigenaars, kopers, verkopers, leden, patiënten etc? Vergeet dan niet dat je steeds zelf aan alle vereisten van een GDPR conforme verwerking van persoonsgegevens moet voldoen.

Daartoe moet je over o.a. het volgende beschikken;

  • een eigen verwerkingsregister met daarin alle details (soorten persoonsgegevens, doel van verwerkingen, rechtsgronden, bewaartermijnen, doorgiftes……)
  • een schriftelijke verwerkersovereenkomst met elke verwerker waarmee je persoonsgegevens uitwisselt (dus ook met de aanbieder van je cloudsoftware)
  • een datalekregister en -procedure
  • voldoende parate kennis over wat mag, niet mag, of net wel moet….. (rechten van betrokkenen)
  • een sluitende privacypolicy (op basis van je verwerkingsregister dus….)
  • voldoende technisch-organisatorische maatregelen ter bescherming van de verwerkte persoonsgegevens

Wanneer je een van bovenstaande zaken mist is er werk aan de winkel want dan voldoe je niet aan de wettelijke GDPR verplichtingen.

Een GDPR beleid houdt als wettelijke verplichting meer in dan enkel een software gebruiken die meldt “GDPR conform” te zijn. Vergelijk het met een boekhoudsoftware; deze kan je hooguit ondersteunen om een boekhouding te voeren, maar een wettelijk conforme boekhouding houdt veel meer in dan een factuur bijhouden in het pakket.

Bron: Ubora