Per 25 mei 2018 treedt General Data Protection Regulation (GDPR), de Europese opvolger van de AVG, in werking. De implementatie van de regelgeving maakt onderdeel uit van het door De Staffing Groep (DSG) opgestelde handboek. De processen en werkwijzen die we daarin hebben vastgelegd zijn gebaseerd op de zogenaamde ISO27001 Norm. Deze internationale standaard voor informatiebeveiliging is van toepassing op alle typen organisaties. DSG zal zich in 2018 laten certificeren volgens de norm en zo de verantwoordelijkheden die voortkomen uit de naleving van de GDPR borgen in al haar werkzaamheden.

Onderstaand 9 beleidskaders die ten grondslag liggen aan de GDPR-implementatie:

1. Bewustwording

Bewust omgaan met herleidbare persoonsgegevens, door de hele organisatie. Daarover organiseren we geregeld specifieke ‘awareness sessies’, voor en door interne én externe mensen.

2. Rechten van betrokkenen

DSG heeft een duidelijk beeld wie de betrokkenen zijn. Om de rechten (zoals bijvoorbeeld inzage, wijzigen en verwijderen) van die betrokkenen te borgen hebben we een aantal GDPR-processen opgesteld.

3. Dataminimalisatie

In het kader van dataminimalisatie is een Proces Data Matrix opgesteld. Het schonen van de data in relatie tot de wettelijke bewaartermijnen is een andere maatregel die we hebben genomen. Overgebleven relevante gegevens bewaren we uitsluitend na toestemming van betrokkenen.

4. Verwerkersschema en overeenkomsten

We hebben een schema opgesteld waardoor voor iedereen duidelijk is wie in een bepaald proces verwerker of verantwoordelijke is. Onze deelovereenkomsten en algemene voorwaarden passen we daar op aan.

5. Beveiliging systemen

De bescherming van gegevens staat centraal bij het toegang krijgen tot systemen en vormt een essentieel onderdeel van al onze overeenkomsten met beheer- en applicatieleveranciers.

6. Privacy by design en privacy by default

Bij het wijzigen van bedrijfsprocessen of de implementatie van nieuwe systemen/applicaties wordt een Privacy Impact Analyse uitgevoerd. Deze PIA en ook de periodieke Risico Analyse bepalen onder andere of er niet meer persoonsgegevens worden vastgelegd dan noodzakelijk, maar ook of de juiste bescherming van toepassing is.

7. Data Protection Officer

DSG verwerkt veel persoonsgegevens. Daarom hebben we de rol van Data Protection Officer (DPO) in laten vullen door een van onze medewerkers en dit gemeld bij de Autoriteit Persoonsgegevens. Zijn rapportages gebruiken we om onze processen continue te verbeteren.

8. Meldplicht datalekken

Mocht zich ondanks alle voorzorgsmaatregelen toch een datalek voordoen, dan zullen we dit direct melden bij de Autoriteit. Hier zijn vaste procedures voor die gedeeld worden met onze medewerkers en ook altijd als leermoment terugkomen tijdens de awareness sessies.

9. Gegevensbeheer

De GDPR stelt dat het vastleggen van gegevens veel meer expliciet gevraagd en vastgelegd moet worden. We hebben dit daarom in onze (werk)processen opgenomen.

Meer weten over ons privacybeleid? Lees de uitgebreide privacyverklaring waar ook de bijbehorende contactgegevens in zijn opgenomen.