Veelgestelde vragen over de GDPR
1. Welke stappen onderneemt Acerta in het kader van de GDPR?
2. Welke technische maatregelen neemt Acerta in het kader van de bescherming van persoonsgegevens?
4. Welke maatregelen neemt Acerta om de rechten van de betrokkene te vrijwaren?
5. Welke maatregelen neemt Acerta voor het opsporen van datalekken?
6. Welke maatregelen neemt Acerta voor het rapporteren van datalekken?
Ga de uitdaging samen met Acerta aan!
1. Welke stappen onderneemt Acerta om GDPR compliant te zijn vanaf 25 mei 2018? Welke stappen onderneemt Acerta in het kader van de GDPR?
De GDPR is van toepassing op elke medewerker binnen Acerta en op elke verwerking van persoonsgegevens binnen Acerta. Daarom hebben we ervoor gekozen om onze compliance als een Acerta-breed project aan te pakken. We zetten daarbij in op verschillende domeinen en werken op basis van een roadmap die is opgesteld samen met een externe partij die ons ondersteunt.
Deze roadmap is gebaseerd op het dertienstappenplan zoals het door de Privacycommissie ontwikkeld werd om organisaties bij te staan in hun GDPR-compliance.
Onze roadmap bevat elementen zoals:
- verhoging van de awareness rond privacy bij de medewerkers van Acerta;
- aanleg van de verwerkings- en dataregisters;
- bijsturing en uitbreiding van het privacyprogramma door middel van aanpassingen aan de privacystrategie en het uitbreiden en indien nodig herschrijven van de policies;
- aanstelling van een Data Protection Officer voor de hele Acerta-groep;
- opstelling van de procedures voor het invullen van de rechten van de betrokkene;
- aanpassing van het incidentmanagement naar aanleiding van de meldingsplicht;
- evaluatie van onze leveranciers en indien nodig het bijsturen van de samenwerking;
- opzet van een privacy impact analyse framework;
- controle van de technische en organisatorische maatregelen en het bijsturen daarvan waar nodig.
2. Welke technische maatregelen heeft Acerta genomen in het kader van de bescherming van persoonsgegevens?
Bij Acerta maken we veelvuldig gebruik van informatie die behoort tot de persoonlijke levenssfeer. We zijn ons ten volle bewust van het gevoelige karakter van die informatie.
In het verleden hebben we steevast de best mogelijke technische maatregelen ingevoerd om de privacy van personen met wie we in relatie staan (klant, medewerkers, leveranciers,…) zo zorgvuldig mogelijk en conform de wet te beschermen.
- Acerta laat op regelmatige basis haar informatiebeveiliging auditen door een externe partij. Deze audits zijn gebaseerd op de ISO-normen en worden gebruikt als leidraad voor eventuele verbeteringen aan onze IT-omgevingen.
- Acerta laat elke nieuwe software op inbraakveiligheid en kwetsbaarbeid controleren via een zogenaamde PENtest. Het PEN-testen gebeurt door externe onafhankelijke organisaties. Deze aanpak waarborgt de kwaliteit en veiligheid van de softwareopleveringen.
- De toegang tot onze systemen is afgeschermd met een doorgedreven logisch mechanisme voor toegangsbeheer.
We besteden continu aandacht an het verbeteren van onze systemen. Dat was al zo voor de GDPR in werking trad. Naar aanleiding van de GDPR worden mogelijke verbeteringen extra onderzocht.
3. Welke organisatorische maatregelen heeft Acerta genomen in het kader van de bescherming van persoonsgegevens?
Bij Acerta maken we veelvuldig gebruik van informatie die behoort tot de persoonlijke levenssfeer. We zijn ons ten volle bewust van het gevoelige karakter van die informatie.
In het verleden hebben we als organsiatie altijd het best mogelijke gedaan om de privacy van personen aan wie we onze diensten aanbieden (klant, medewerkers, leveranciers,…) zo doeltreffend mogelijk en conform de wet te beschermen.
De komst van de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) zet ons ertoe aan om onze aanpak nog te verscherpen.
Volgende maatregelen zijn genomen:
- Acerta heeft een Data Protection Officer (DPO) aangesteld voor de hele Acerta-groep. Deze DPO controleert de correcte toepassing van de geldende wet- en regelgeving bij het invullen van de processen binnen Acerta.
DPO: Sarah Peeters
e-mail: dpo@acerta.be - De organisatiestructuur voor het beheren van risico’s en privacy is heringericht.
- Er zijn extra controlepunten ingebouwd in onze opleveringsprocessen. Deze extra controlepunten zijn specifiek gericht op het privacyaspect en het waarborgen van de nodige afstemmingen.
- Ons privacyprogramma en de relevante richtlijnen daaromtrent zijn aangepast conform de GDPR. Dit privacyprogramma omvat onder meer de privacystrategie van Acerta, ons beleid met betrekking tot data privacy, informatiebeveiliging, het logisch toegangsbeheer tot onze systemen, …
- We hebben een doorgedreven bewustmakingscampagne opgezet voor onze medewerkers om het aspect privacy en GDPR extra onder de aandacht te brengen.
4. Welke maatregelen neemt Acerta om de rechten van de betrokkene te vrijwaren?
Acerta erkent dat het recht op privacy een basisrecht is van elk individu en neemt dan ook de nodige maatregelen om dit recht te vrijwaren, conform de geldende wet- en regelgeving en haar hoedanigheid. Acerta zal volledig conform de wet handelen en daarvoor de nodige procedures en processen inrichten.
- Acerta zal als verwerker van persoonsgegevens elke vraag die door een betrokkende, waarvoor Acerta persoonsgegevens verwerkt, rechtstreeks aan haar wordt gesteld, meteen doorgeven aan de verwerkingsverantwoordelijke.
- Acerta zal als verwerker van persoonsgegevens de nodige middelen en ondersteuning voorzien om de vragen van de betrokkene, die worden gesteld via de verwerkingsverantwoordelijke, in te vullen conform de geldende wet- en regelgeving.
- Acerta zal als verwerkingsverantwoordelijke de vragen van de betrokkene beantwoorden conform de geldende wet- en regelgeving.
5. Welke maatregelen neemt Acerta voor het opsporen van datalekken?
Alle acties op onze systemen en op ons netwerk worden uitgebreid gelogd. Verder zijn er al een aantal controlemechanismen ingebouwd die onze IT-omgevingen monitoren en een eventuele inbreuk signaleren.
Acerta zal in de toekomst de middelen voor het opsporen van eventuele datalekken vergroten. We bouwen hiervoor op de best beschikbare technieken inzake ‘data loss’-preventie, security information and event management (SIEM), ‘behavior analysis’, ...
6. Welke maatregelen neemt Acerta voor het rapporteren van datalekken?
Acerta heeft een incident management proces waarin een escalatiekanaal is ingebouwd voor het rapporteren en beperken van incidenten die te maken hebben met het verlies van data en andere beveiligingslekken. Dit proces zal ook de meldingsplicht opvangen, conform de geldende wet- en regelgeving.
- Elk incident dat betrekking heeft op het verlies van data, zal worden gemeld aan de Data Protection Officer van Acerta en zal worden gelogd in een register.
- Acerta zal als verwerker van persoonsgegevens elk incident dat betrekking heeft op het verlies van data melden aan de verwerkingsverantwoordelijke binnen de vooropgestelde termijnen, conform de geldende wet- en regelgeving.
- Acerta zal als verwerker van persoonsgegevens elk incident van aanzienlijke omvang, dat betrekking heeft op het verlies van data, melden aan de toezichthouder, conform de geldende wet- en regelgeving met de vereiste informatie.