We verstaan mekaar

Tabor-voorzieningen slaan handen in elkaar op vlak van informatieveiligheid

Op 25 mei 2018 ging de fameuze GDPR-wetgeving van kracht. GDPR, of ook General Data Protection Regulation, het moet zowat dé afkorting van 2018 geweest zijn. In het Nederlands hebben we het ook wel over de Algemene Verordening Gegevensbescherming (AVG). Vanaf de inwerkingtreding van de GDPR moest elk bedrijf, organisatie of overheid die op één of andere manier data van personen bijhoudt, zich in regel stellen met een nieuwe set privacyregels.

Europese burgers kregen vanaf mei 2018 meer privacyrechten, zoals recht op inzage en recht op correctie van gegevens die over hen bijgehouden worden. Dat wil meteen ook zeggen dat de GDPR gevolgen met zich heeft meegebracht voor de wijze waarop organisaties moeten omgaan met persoonsgegevens. Dit niet alleen op organisatieniveau, maar ook op de werkvloer. De GDPR heeft zonder twijfel een impact gehad op processen, procedures en op het dagelijks functioneren van medewerkers in organisaties zoals Sint-Lodewijk.

Er heerst nu een grotere verantwoordingsplicht (accountability). Elke organisatie die persoonsgegevens in beheer heeft en verwerkt blijft verantwoordelijk voor de verwerking, ook al doet hij hiervoor beroep op een andere partij.

Wat je samen doet, doe je vaak beter

Onder het motto wat je samen doet, doe je vaak beter, legde Sint-Lodewijk samen met 9 partners van de Taborgroep de beperkte middelen samen om een GDPR-expert (ofte dataveiligheidsconsulent (DVC), ofte data protection officer (DPO)) aan te werven. Die vonden we in de persoon van Sarah Demey, juriste van opleiding.

Sarah startte op 15 januari 2018 als DVC/DPO voor 10 partners van de Taborgroep. De 9 andere organisaties zijn Alderande, Compaan, De Bolster, De Vierklaver, De Hagewinde, Fiola, Sint-Lievenspoort, ten Dries en de Taborgroep zelf.

Sarah’s ambitie is om voor de partnerorganisaties vanuit een min of meer generieke rode draad een vertaling op organisatieniveau te maken.

Sarah’s ambitie is om voor de partnerorganisaties vanuit een min of meer generieke rode draad een vertaling op organisatieniveau te maken. De organisaties beginnen uiteraard niet vanaf nul. Er is al heel wat voorwerk gebeurd. Privacywetgeving en -regels zijn niet volledig nieuw en er was ook al een leernetwerk rondom het thema in kwestie.

Is Sint-Lodewijk ondertussen GDPR-proof?

Helaas niet, maar geen zorgen. Rome is ook niet op één dag gebouwd. De implementatie van de nieuwe privacywetgeving is een voortdurend proces dat altijd aandacht zal blijven vragen. De GDPR vraagt continue opvolging. Organisaties zoals Sint-Lodewijk moeten vooral kunnen aantonen dat ze met de wetgeving aan de slag zijn (gegaan). En daar zijn we tot op de dag van vandaag uiteraard intensief mee bezig.

De implementatie van de nieuwe privacywetgeving is een voortdurend proces dat altijd aandacht zal blijven vragen.

Een belangrijk aspect van de GDPR-wetgeving is de informatieplicht van de organisatie. Sint-Lodewijk heeft ondertussen een privacyverklaring voor cliënten die beschikbaar is op de website. Ook voor medewerkers bestaat er een dergelijke privacyverklaring. Die is terug te vinden op het intranet, SLim. In zo’n privacyverklaring informeren we over o.a. welke persoonsgegevens we verzamelen, hoelang we de gegevens bewaren en welke maatregelen we als organisatie nemen om de gegevens te beschermen.

Daarnaast zijn we ook volop in de weer met de opmaak van het register van verwerkingsactiviteiten. Hierin brengen we in kaart van wie we welke persoonsgegevens verwerken, hoe de gegevens verwerkt worden, waar ze vandaan komen en met wie ze worden gedeeld. Gezien de omvang van onze organisatie en de complexiteit van verwerkingen is dit geen gemakkelijke opdracht.

Een ander belangrijk onderdeel van het proces is het uitvoeren van een risicoanalyse en een maturiteitsmeting. Aan de hand van de risicoanalyse moeten we nagaan welke risico’s verbonden zijn aan de veiligheid van informatie die de organisatie verwerkt. Zowel fysieke als digitale beveiliging komt aan bod. De analyse en meting zijn ondertussen uitgevoerd en op basis daarvan zullen we in 2019 een veiligheidsplan opstellen. To be continued.