1. Home /
  2. Over ons /
  3. Nieuws /
  4. Implementatie General Data Protection...

Implementatie General Data Protection Regulation op koers

Op 25 mei treedt de General Data Protection Regulation (GDPR) in werking. Doel van de GDPR is om natuurlijke personen meer transparantie en controle te geven over hun persoonlijke data.

Van Europese organisaties worden in dat verband meer beveiliging en controles verwacht om het gebruik van persoonlijke data te beschermen. Dat geldt dus ook voor KAS BANK.

28 feb 2018

Deel op  

In Nederland is deze Europese regelgeving over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens' vastgelegd in de Algemene Verordening Gegevensbescherming (AVG).

 

Multidisciplinair GDPR-projectteam

De richtlijn heeft een grote impact op Europese instellingen, waaronder KAS BANK. Om tijdig en juist op de invoering van de GDPR te zijn voorbereid hebben wij een speciaal GDPR-projectteam opgericht bestaande uit compliance-, IT- en marketingspecialisten en juristen. Dit GDPR-team is al geruime tijd bezig met de implementatie van de door ons gedefinieerde ‘project streams’. Met deze geïntegreerde en multidisciplinaire aanpak verloopt onze dienstverlening per 25 mei 2018 volledig conform de GDPR/AVG.

10 project streams

Binnen het GDPR-project zijn 10 streams ingericht.

  1. Bewustwording
    Taak: alle relevante personen binnen onze organisatie op de hoogte brengen van de nieuwe privacywetgeving onder de AVG/GDPR.
    Voor alle onze processen en diensten wordt een GDPR-impactanalyse uitgevoerd. Waar nodig worden zij vervolgens aangepast aan de nieuwe regelgeving. Ook worden onze medewerkers via awareness sessies geïnformeerd over de aanstaande wijzigingen en wat dit betekent voor u als onze klant.
  2. Rechten van betrokkenen
    Taak: evalueren op welke manier privacy rechten uitgeoefend kunnen worden.
    Indien nodig wordt de wijze van uitoefening aangepast om te voldoen aan de AVG vereisten. Denk hierbij onder meer aan recht op inzage, correctie en verwijdering van persoonsgegevens en het recht op dataportabiliteit (bijvoorbeeld bij de overgang naar een andere provider).
  3. Overzicht verwerkingen
    Taak: in een register vastleggen hoe en om welke doel KAS BANK persoonsgegevens vastlegt.
    Met behulp van dit register kunnen wij aantonen waar persoonsgegevens vandaan komen en met wie ze mogelijk worden gedeeld. Hiermee voldoen wij aan de wettelijke verantwoordingsplicht om aan te tonen dat wij handelen in overeenstemming met de AVG (de “registerplicht”).
  4. Data Protection Impact Assessment (DPIA)
    Taak: uitvoeren van een onder de AVG verplichte Data Protection Impact Assessment (DPIA).
    De DPIA is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om deze risico’s te verkleinen.
    Binnen KAS BANK wordt bij nieuwe initiatieven/projecten of wijzigingen in bestaande processen en systemen altijd een DPIA uitgevoerd om vast te stellen of de verwerking van gegevens mogelijk een hoog privacy-risico met zich meebrengt.
  5. Privacy by design and default
    Taak: bij het ontwerpen van producten en diensten inbouwen (‘privacy by design’) dat persoonsgegevens goed worden beschermd.
    Privacy by default houdt in dat technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat standaard alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat wij willen bereiken. Deze (reeds geïmplementeerde) maatregelen worden op reguliere basis geëvalueerd.
  6. Functionaris voor de gegevensbescherming
    Taak: de Functionaris Gegevensbescherming (FG) houdt toezicht op de toepassing en naleving van de AVG en is nadrukkelijk betrokken bij de GDPR-implementatie.
    Wij hebben inmiddels een Functionaris Gegevensbescherming aangesteld die ook onderdeel uitmaakt van het GDPR-projectteam.
  7. Meldplicht datalekken
    Taak: procedures opstellen om aan de onder de AVG gestelde eisen ten aanzien van de registratie van datalekken te voldoen.
    De AVG stelt t.o.v. de huidige meldplicht extra eisen aan de registratie van de datalekken die zich hebben voorgedaan. Wij hebben de benodigde procedures voor deze registratieplicht reeds ingericht.
  8. Verwerkersovereenkomsten
    Taak: opstellen van ‘verwerkersovereenkomsten’ onder de AVG
    Wij gaan aangepaste verwerkersovereenkomsten versturen naar leveranciers en klanten wanneer de gegevensverwerking door KAS BANK, als verwerkingsverantwoordelijke, aan hen is uitbesteed. Deze overeenkomsten worden begin maart verstuurd. Zo nodig nemen wij hierover apart contact met u op.
  9. Leidende toezichthouder
    Vanuit de AVG is vastgelegd dat er aan een privacy toezichthouder verantwoording wordt afgelegd. Voor Nederland, en daarmee voor KAS BANK, is de leidende toezichthouder de Autoriteit Persoonsgegevens (AP). Onze branches in het Verenigd Koninkrijk en Duitsland vallen ook onder deze leidende toezichthouder.
  10. Toestemming
    Taak: onderzoeken en evalueren op welke manier wij momenteel toestemming aan de betrokkenen vragen voor de verwerking van hun persoonsgegevens.
    Indien nodig wordt onze wijze van toestemming vragen aangepast om te voldoen aan de AVG.

Vervolginformatie
Wij houden u de komende maanden op de hoogte van de voortgang van de implementatie van de GDPR binnen onze organisatie. Voor meer informatie of vragen kunt u ook altijd contact opnemen met ons GDPR-projectteam via FAQGDPR@kasbank.com.