Maturiteitsaudit (INSURANCE)
Met de voltooide audit kunt u uw maturiteitsgraad in de Algemene Verordening Gegevensbescherming (GDPR) begrijpen.
Bedankt dat u de tijd neemt om de volgende vragen te beantwoorden. Aan de hand van de vragenlijst kunnen wij zien in welke mate u al klaar bent voor de General Data Protection Regulation (GDPR of Algemene verordening Gegevensbescherming – AVG), die in mei 2018 van kracht wordt.
A. Voorstelling bedrijf
Grootte van het bedrijf
Sector
Details
Groepslidmaatschap
Aantal onderaannemers
Identificeer uw databases:
Heeft u een publiek toegankelijke website?
Heeft u een e-commerce site?
Heeft u een mobiele applicatie?
Aanwezigheid op sociale netwerken
In welke mate zijn de bedrijfsleiders volgens u op de hoogte van deze nieuwe regelgeving?
DPO (Data Protection Officer of functionaris gegevensbescherming)
| Ja | Nee | ? | |
|---|---|---|---|
| De verwerkingsverantwoordelijke beschikt over een Data Protection Officer (DPO). Dit kan iemand van het bedrijf zelf of een externe persoon zijn. | |||
| De DPO beschikt over de geschikte (IT- en operationele) middelen om te voldoen aan de nieuwe eisen van de GDPR. |
B. Bewustmaking (“Awareness”)/Aansprakelijkheid (“Accountability”)
Wat is het bewustzijnsniveau van uw bedrijf?
| Ja | Nee | ? | |
|---|---|---|---|
| Heeft de verwerkingsverantwoordelijke zijn voltallige personeel geïnformeerd over de nieuwe eisen van de GDPR (bewustmakingscampagne/"awareness campaign")? Deze informatie kan via e-mail, tijdens een vergadering of op een andere manier gecommuniceerd zijn. Om conform te worden is de hulp van het bedrijf nodig en is een goede bewustmaking essentieel. | |||
| De verwerkingsverantwoordelijke heeft procedures/een beleid opgesteld om ervoor te zorgen dat zijn toekomstige projecten conform de GDPR zijn. De GDPR wetgeving werd over het algemeen opgenomen in de mentaliteit van het bedrijf. | |||
| De verwerkingsverantwoordelijke beschikt over een Privacyverklaring/Privacybeleid/Privacyclausule die gemakkelijk toegankelijk is voor het publiek. Dit document is gemakkelijk te begrijpen voor de lezer. Het is opgesteld in een duidelijke taal en is nagekeken door een jurist, een advocaat of een andere persoon met de juiste juridische vaardigheden. | |||
| Heeft de verwerkingsverantwoordelijke procedures/een beleid opgesteld om ervoor te zorgen dat zijn projecten vanaf nu voldoen aan de eisen van de “privacy by design” (de gegevensbescherming geldt al van bij het ontwerp van een product of een dienst) en “by default” ? | |||
| Beschikt de verwerkingsverantwoordelijke al over een register van zijn verwerkingsactiviteiten? Dit register omvat de essentiële elementen, namelijk het doel waarvoor de gegevens verwerkt worden, de categorieën van de verwerkte gegevens, de personen die toegang hebben tot de gegevens, de bewaartermijn van de gegevens, enz. Een dergelijk register is niet altijd verplicht, maar is wel sterk aan te raden als uitgangs- en opvolgingspunt. |
C. Verzamelen van persoonsgegevens
C. Verzamelen van persoonsgegevens
| Ja | Nee | ? | |
|---|---|---|---|
| De verwerkingsverantwoordelijke heeft een audit laten uitvoeren om de gegevensstromen in kaart te brengen en hij beschikt al over een duidelijk en compleet overzicht van alle gegevens die hij gebruikt of heeft gebruikt. Concreet betekent dit dat de verantwoordelijke weet waar zijn gegevens zich bevinden, welke gegevens het zijn, waarom ze worden verzameld, wie toegang heeft tot de gegevens, enz. | |||
| De verwerkingsverantwoordelijke heeft een intern beleid opgesteld om er zeker van te zijn dat de verzamelde gegevens adequaat, nodig en niet overdreven zijn ten opzichte van de doeleinden die worden nagestreefd door de verwerkingen. | |||
| De verwerkingsverantwoordelijke heeft een beleid opgesteld rond gegevensbewaring met het doel de persoonsgegevens die niet meer nodig zijn regelmatig te verwijderen. |
D. Juridische basis/Grondslag
D. Juridische basis/Grondslag
| Ja | Nee | ? | |
|---|---|---|---|
| Verzamelt de verwerkingsverantwoordelijke de gegevens op geoorloofde wijze? Heeft hij de juridische basis van al zijn verwerkingsactiviteiten laten controleren (en gedocumenteerd)? NB: De juridische basis van de verwerking is essentieel. Het verzamelen van de gegevens kan gebeuren op basis van een toestemming van de persoon, de uitvoering van een contract, om te voldoen aan een wettelijke verplichting, de opslag van een essentieel belang, voor een opdracht van algemeen belang of voor de verwezenlijking van de rechtmatige belangen van de verwerkingsverantwoordelijke. | |||
| Indien de toestemming van de betrokkene gevraagd wordt, kent de verwerkingsverantwoordelijke dan de manier waarop de toestemming verkregen is en heeft hij daar het bewijs van? | |||
| De verwerkingsverantwoordelijke heeft een systeem waarmee de toestemmingen voortdurend kunnen opgeslagen en beheerd worden. | |||
| Heeft de verwerkingsverantwoordelijke een belangenafweging laten uitvoeren wanneer de juridische basis van de verwerkingsactiviteit zijn rechtmatige belangen zijn? |
E. Beveiliging van de gegevens
E. Beveiliging van de gegevens
| Ja | Nee | ? | |
|---|---|---|---|
| De verwerkingsverantwoordelijke heeft een beleid opgesteld of laten opstellen inzake de beveiliging van zijn gegevens. Dit beleid wordt ondersteund door adequate veiligheidsmaatregelen. Dit beleid wordt gedocumenteerd en regelmatig bijgewerkt. | |||
| De verwerkingsverantwoordelijke heeft gepaste maatregelen getroffen om de persoonsgegevens te beschermen tegen verlies of diefstal wanneer deze naar een derde worden doorgestuurd. | |||
| Beschikt de verwerkingsverantwoordelijke over maatregelen/een procedure om de beveiligingslekken te melden aan de instanties en/of de betrokkenen? |
F. Onderaannemers
F. Onderaannemers
| Ja | Nee | ? | |
|---|---|---|---|
| De contracten die de verwerkingsverantwoordelijke met de onderaannemers heeft afgesloten, zijn conform de GDPR. Ze zijn dus recent nagekeken en omvatten bepalingen die de relatie omkaderen (doel waarvoor de gegevens gecommuniceerd worden, verantwoordelijkheid van de partijen, enz. | |||
| Verwerkt het bedrijf persoonsgegevens namens en in opdracht van andere bedrijven (het bedrijf treedt dus op als onderaannemer en niet meer als verwerkingsverantwoordelijke)? | |||
| Als het bedrijf handelt als onderaannemer, heeft het in dat geval de voorafgaande toestemming gekregen van de verwerkingsverantwoordelijke? |
G. Andere contracten
G. Andere contracten
| Ja | Nee | ? | |
|---|---|---|---|
| Heeft de verwerkingsverantwoordelijke al zijn contracten laten nakijken (arbeidsovereenkomst en/of arbeidsreglement, leveranciers, algemene verkoopvoorwaarden, enz.) om te controleren of deze GDPR-conform zijn? |
H. Specifieke verwerkingen
H. Specifieke verwerkingen
| Ja | Nee | ? | |
|---|---|---|---|
| Verzamelt en verwerkt de verwerkingsverantwoordelijke gevoelige gegevens (zoals gezondheidsgegevens, religieuze overtuiging, seksuele geaardheid, ras of etnische afkomst, politieke overtuiging, lidmaatschap bij een vakbond) of specifieke gegevens (genetische gegevens, gegevens met betrekking tot strafbare feiten, veroordelingen, enz., biometrische gegevens, enz.) in de zin van de GDPR? | |||
| Maakt de verwerkingsverantwoordelijke een profilering op basis van de persoonsgegevens die hij verzamelt? | |||
| De verwerkingsverantwoordelijke neemt beslissingen die uitsluitend gebaseerd zijn op een automatische verwerking die juridische gevolgen heeft met betrekking tot de betrokkene of die een duidelijke invloed hebben op de betrokkene. | |||
| Indien de verwerkingsverantwoordelijke zuiver automatische beslissingen neemt, heeft de verwerkingsverantwoordelijke dan een procedure opgesteld zodat de betrokkenen op wie deze beslissingen van toepassing zijn een menselijke tussenkomst kunnen vragen? | |||
| Biedt de website van de verwerkingsverantwoordelijke diensten aan voor kinderen? De GDPR laat aan lidstaten toe om de in aanmerking te nemen leeftijd vast te stellen (zo werd in België bijvoorbeeld de leeftijd van 13 jaar voorgesteld door de Belgische wetgever). |
I. Rechten van de betrokkenen
I. Rechten van de betrokkenen
| Ja | Nee | ? | |
|---|---|---|---|
| Kan de verwerkingsverantwoordelijke vanaf nu voldoen aan alle vragen van de betrokkenen? In het kader van de GDPR hebben de betrokkenen effectief bepaalde rechten met betrekking tot de verwerking van hun gegevens: recht op informatie, recht op inzage en kopiëren van gegevens, recht op rectificatie, recht op verzet, recht op beperking van de verwerking, recht op uitwissing/vergetelheid van gegevens, recht op overdraagbaarheid. | |||
| De verwerkingsverantwoordelijke heeft een procedure opgesteld (die hij naleeft) om te antwoorden op de vragen van de personen wat betreft de toegang tot hun gegevens evenals tot bepaalde informatie. | |||
| De verwerkingsverantwoordelijke heeft een procedure opgesteld waarmee continu kan worden geverifieerd of de bijgehouden persoonsgegevens correct en up-to-date zijn. | |||
| De verwerkingsverantwoordelijke heeft een procedure opgesteld (die hij naleeft) om de persoonsgegevens die niet meer nodig zijn regelmatig te verwijderen of om ze op vraag van de betrokkenen te wissen. | |||
| De verwerkingsverantwoordelijke heeft een procedure opgesteld die toelaat de verwerking te beperken op vraag van de betrokkene. | |||
| De verwerkingsverantwoordelijke heeft een procedure opgesteld die toelaat de gegevens op vraag van de betrokkene door te sturen, te kopiëren, te verplaatsen naar een gestructureerd formaat dat vaak gebruikt wordt, leesbaar is door een machine, interoperabel is, en deze door te sturen naar een verwerkingsverantwoordelijke. | |||
| Heeft de verwerkingsverantwoordelijke een procedure ingesteld (die hij in acht neemt), om te voldoen aan het recht van de betrokken personen om bezwaar te maken tegen de verwerking van hun gegevens. Dit om, indien nodig, de verwerking van hun gegevens met het oog op commerciële doeleinden stop te zetten. |
J. Impactanalyse
J. Impactanalyse
| Ja | Nee | ? | |
|---|---|---|---|
| Beschikt de verwerkingsverantwoordelijke over een procedure om, indien nodig, een impactanalyse uit te voeren met betrekking tot de bescherming van de persoonsgegevens (“PIA”)? Een impactanalyse is nodig wanneer door de verwerking een hoog risico voor de privacy kan ontstaan. | |||
| De verwerkingsverantwoordelijke heeft een PIA laten uitvoeren wanneer dat nodig was. |
K. Overdracht buiten de Europese Unie
K. Overdracht buiten de Europese Unie
| Ja | Nee | ? | |
|---|---|---|---|
| Stuurt de verwerkingsverantwoordelijke de verzamelde persoonsgegevens door buiten de EU? | |||
| Vinden deze overdrachten buiten de EU plaats binnen dezelfde bedrijvengroep? |