Hoe begin je aan zo'n GBEB?
Je hebt drie actoren nodig: iemand die de business kent, iemand die de technische kant van de toepassing/proces kent en iemand die kennis heeft van de privacywetgeving. Tijdens de analyse worden elementen van de business en technische kant bekeken, risicos toegekend en dan gecheckt of deze risico's aan business of technische kant voldoende goed zijn afgedekt.
Een voorbeeld kan veel verhelderen. Stel, je hebt een nieuwe database met gegevens van kinderen (bv. school of speelpleinwerking). Hoe voldoe je aan de nieuwe GBEB? Dan moet je checken aan de businesskant dat de medewerkers over het juiste machtigingsniveau en voldoende kennis beschikken (dus het menselijke aspect), maar ook het technische aspect (encryptie databank, locatie opslag, wachtwoordbeveiliging, gebruiksidentificatie,..). Al deze elementen moeten voldoen aan de vereisten van de privacywetgeving. Als hiermee privacyrisicos zijn afgedekt, is het ok. Een GBEB uitvoeren is dus een minutieuse weegschaaloefening.
Waarmee moet je rekening houden?
- De eigen DPO kan dit best niet uitvoeren. Hij moet immers achteraf beoordelen of de overblijvende risicos aanvaardbaar zijn of niet. Als evaluator mag je natuurlijk niet deelnemen aan de analyse zelf.
- Je moet iemand hebben die kennis heeft van GDPR-wetgeving. Wij hebben bij VERA een heel team DPO's. Onze collegas kunnen elkaars project beoordelen.
- Grootste probleem: deze nieuwe verplichting is nog niet goed bekend. Daarom zou elk bestuur/medewerker van bestuur de reflex moeten ontwikkelen dat bij elk nieuw proces, project of software bij de DPO moet worden gecheckt vanaf de eerste ideeën of er een GBEB nodig is.
- Een leverancier kan voor zijn technische input een vergoeding vragen. Neem het maken van deze GBEB dan ook mee op in je bestek om niet voor verrassingen komen te staan.
- Ook wanneer een DPIA niet verplicht is, is het aan te raden er toch een te voeren als audit-tool. Bijvoorbeeld bij twijfel of een verwerking wel of niet onder de wettelijke voorwaarden van verplichte DPIA valt.
Wat doet VERA?
- Wij hebben al ervaring met het uitvoeren van GBEBs bij besturen.
- We hebben contacten met de softwareleveranciers en kunnen dus de technische kennis aan tafel krijgen als deze niet aanwezig is bij het bestuur of onze collega's.
- We hebben zelf ook veel kennis van software om de nodige analyses en beoordelingen oordeelkundig te kunnen maken.
- We hebben een uitgebreid team DPOs die elkaar ondersteunen en optreden voor elkaars project als kenner van de GDPR-wetgeving.
- Wij leveren telkens een analyserapport af aan het bestuur met de beoordeling aan de DPO, die daarna verder kan werken met het projectteam.
- Wij kunnen dit binnen de bestaande DPO-werking opnemen indien er nog voldoende uren beschikbaar zijn. In dat geval wordt er dus niets extra gefactureerd.
- Wij voerden voor een aantal toepassingen en processen reeds GBEBs en hebben dus de nodige kennis reeds in huis. Op die manier kunnen we voor jullie veel tijd (en dus geld) besparen.
Belangrijk: de eerste stap ligt bij jullie! Jullie moeten als bestuur van meet af aan de DPO en de IT-verantwoordelijke bij het project betrekken zodat wij tijdig de juiste stappen kunnen ondernemen en er voor zorgen dat de risicos correct worden ingeschat en jullie voldoen aan de verplichtingen van de GDPR-wetgeving als verwerkingsverantwoordelijke.