De GDPR staat voor de deur – en bijgevolg ook heel wat paniekzaaierij en onjuiste informatie. Heel wat bedrijven weten nog steeds niet goed wat de verplichtingen zijn en hoe ze die in hun activiteiten kunnen weerspiegelen. Nu de inwerkingtreding van 25 mei steeds dichterbij komt, ontstaat er alsmaar meer ongerustheid. En ja, deze datum kent geen uitstel en de GDPR negeren of het bij het verkeerde eind hebben kan u duur komen te staan. Hoe dan ook, het is belangrijk om te beseffen dat naleving van de GDPR niet om een bepaald tijdstip gaat, maar om een continu proces. Met deze nieuwe regelgeving gaan data-experten aan de slag om privacybescherming op te nemen in hun dagelijkse activiteiten. Dit betekent dat veiligheid vanaf het begin – en niet achteraf – in processen dient te worden geïntegreerd. Wanneer het om GDPR voor facility managers gaat, is dit ook essentieel.

GDPR voor facility managers

GDPR misverstand #1: GDPR geldt alleen voor grote bedrijven zoals Google of Facebook. Nee, naleving van de GDPR geldt voor zowel kleine als grote bedrijven die persoonsgegevens verwerken. De grootte of de activiteiten van uw organisatie zijn niet van belang.

Wat is de GDPR? En welke invloed heeft het op facility managers?

De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is opgericht om de bestaande databeschermingsrichtlijn te herzien. Die wetgeving dateert uit 1995 en functioneerde in een heel andere wereld. Destijds bestond Google niet (ontstaan in 1998). Evenmin bestonden sociale netwerken zoals Facebook (2004) en Instagram (2010). Amazon was nog maar net als onlineboekhandel van start gegaan. De wetgeving dateert ook uit een tijdperk nog vóór internet en cloudtechnologie nieuwe manieren creëerden om gegevens te benutten. Door de gegevensbeschermingswetgeving te versterken en strengere handhavingsmaatregelen te introduceren wil de EU subjecten meer controle geven over hoe hun persoonlijke gegevens worden gebruikt en het vertrouwen in de digitale economie vergroten.

GDPR misverstand #2: De verordening geldt niet voor b2b-bedrijven. De GDPR maakt geen onderscheid tussen openbare, persoonlijke of werkgerelateerde gegevens van een individu. In een b2b-omgeving waarin de klant en leverancier bijvoorbeeld beide als organisaties optreden, neemt de wetgeving de individuen die in het proces betrokken zijn in beschouwing.

De nieuwe EU-verordening over gegevensbescherming treedt na een overgangsperiode van twee jaar op 25 mei 2018 in voege. In tegenstelling tot een richtlijn, hoeven overheden voor de GDPR geen machtigingswetgeving aan te nemen, hetgeen betekent dat deze verordening volledig afdwingbaar zal zijn vanaf mei 2018. Bedrijven die tegen dan niet voldoen kan een boete worden opgelegd hetzij van tot wel 4 procent van de wereldwijde jaaromzet, hetzij 20 miljoen EUR, indien dat cijfer hoger is. Naast de hoge boetes en schadeclaims kan een bevel tot neerleggen van activiteiten nog meer schade aanrichten.

GDPR misverstand #3: GDPR geldt alleen voor Europese bedrijven. De GDPR is niet alleen van toepassing op organisaties gevestigd binnen de EU, maar ook op organisaties gevestigd buiten de EU die

– Persoonsgegevens verwerken in het kader van een activiteit of transactie die binnen het EU-grondgebied geschiedt
– Het gedrag van EU-datasubjecten monitoren
Het verruimen van de territoriale rijkwijdte is een van de grootste veranderingen van de GDPR.

Als u persoonsgegevens verwerkt in het kader van activiteiten en transacties die binnen de EU (inclusief het Verenigd Koninkrijk, ondanks de Brexit) plaatsvinden, dient uw organisatie aan de GDPR te voldoen. Dit heeft duidelijk ook een impact op FM-organisaties die niet alleen operationele en assetgegevens verwerken, maar ook gegevens over facilitaire medewerkers en de gebruikers van een gebouw. FM-serviceproviders worden twee keer met de nieuwe verordening geconfronteerd, enerzijds met een verplichting tegenover hun eigen personeel en anderzijds met de systemen die ze implementeren om hun klanten van dienst te zijn.

GDPR misverstand #4: GDPR is alleen van toepassing op EU-burgers en/of -inwoners. De GDPR heeft niets te maken met iemands burgerschap. De verordening is van toepassing wanneer de gegevensbeheerder of -verwerker (een organisatie die gegevens namens een gegevensbeheerder, bijv. cloud-serviceprovider, verwerkt) in de EU gevestigd is of wanneer de persoonsgegevens van het datasubject verwerkt worden in het kader van activiteiten of transacties die binnen de EU plaatsvinden.

10 fundamenten van de GDPR

  1. GEGEVENSBEPERKING – De gegevens die u verzamelt mogen niet langer worden gebruikt of bewaard dan hetgeen nodig is voor het oorspronkelijk vastgelegde doel.
  2. DOELBEPERKING – Verzamel gegevens enkel voor welbepaalde, expliciete en gewettigde doeleinden; gegevens mogen voor andere doeleinden (compatibel gebruik) niet verder worden verwerkt.
  3. BEWAARBEPERKING – Persoonlijk identificeerbare gegevens kunnen niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor de gegevens worden verwerkt.
  4. WETTELIJKE BASIS – Voor het verwerken van persoonsgegevens is steeds een wettelijke basis vereist, bijv. geldige toestemming, contractuele relatie, wettelijke verplichting, rechtmatig belang of vitaal belang.
  5. TRANSPARANTIE – Datasubjecten moeten duidelijk worden ingelicht dat hun gegevens worden verwerkt; welke gegevens, waarom en door wie en de rechten van de datasubjecten moeten duidelijk worden toegelicht.
  6. JUISTHEID – Zorg ervoor dat persoonsgegevens correct en up-to-date zijn; redelijke voorzorgen dienen te worden genomen om onjuiste gegevens zo snel mogelijk te wissen of te corrigeren.
  7. INTEGRITEIT – De GDPR vereist passende bescherming tegen ongeoorloofde en onwettige gegevensverwerking, verlies van gegevens alsook onrechtmatige toegang en openbaarmaking. U moet zich bewust zijn van de risico’s die u voor anderen veroorzaakt (onrecht of schade) en die beperken. Dit omvat audits en opvolging, het overwegen van versleuteling van pseudonimisatie en het gebruik van geavanceerde gegevensbeschermingstechnologie in het kader van mogelijke gevolgen van overtredingen.
  8. MELDING VAN INBREUK – De GDPR legt vereisten vast voor het melden van inbreuken aan zowel de toezichthoudende autoriteit als de betrokken datasubjecten in geval van een inbreuk in verband met persoonsgegevens.
  9. VERANTWOORDING – De gegevensbeheerder is verantwoordelijk voor naleving van GDPR (bijhouden van alle verwerkingsactiviteiten) – en moet dit kunnen aantonen.
  10. GEGEVENSPORTABILITEIT – Het recht om persoonsgegevens van de ene naar de andere serviceprovider te verplaatsen.
GDPR misverstand #5: Persoonsgegevens zijn gegevens over iemand. Persoonsgegevens is alle informatie die betrekking heeft op een natuurlijk persoon (‘datasubject’) die rechtstreeks of onrechtstreeks gebruikt kan worden om de persoon te identificeren. Het kan gaan om een naam, foto of e-mailadres of zelfs een IP-adres of cookie. Maar ook gps-coördinaten, een rekeningnummer of nummerplaat. Of een inspectierapport of ticket dat voor een FM-interventie werd geregistreerd. Of nog gevoeligere gegevens zoals een loonlijst of gezondheidsgegevens. Vaak worden beelden van bewakingscamera’s of gegevens verzameld door een toegangscontrolesystem over het hoofd gezien.

GDPR voor facility managers

Facilitaire organisaties (en hun externe serviceproviders) verzamelen persoonlijk identificeerbare gegevens tijdens operaties, zowel via hun eigen teams (in het veld) en gebruikers van gebouwen. Het is essentieel om een gegevensaudit uit te voeren om een gedetailleerd overzicht te krijgen van hoe persoonsgegevens momenteel worden verzameld en beheerd. Van facilitaire organisaties wordt inderdaad verwacht dat ze weten welke gegevens ze van ieder individu verzamelen en waar die precies worden bewaard. Dit zal niet te moeilijk zijn als de gegevens centraal worden opgeslagen. Het wordt echter ingewikkelder wanneer er papieren workflows worden gebruikt. Of wanneer facilitaire gegevens in diverse tools en spreadsheets over de organisatie verspreid zijn.

GDPR misverstand #6: GDPR is alleen van toepassing op gegevens in digitale vorm. Papieren dossiers van persoonsgegevens vallen bijvoorbeeld ook onder GDPR. Het maakt in feite niet uit welk type ondersteuning wordt gebruikt.

Geïntegreerde FM-software (ook wel IWMS/CAFM) die op een enkele database draait, bewaart alle gegevens in een centraal register. Hierdoor kan informatie gemakkelijker worden beheerd, geüpdatet en beveiligd, en kunnen dubbele records en inconsistenties (principe ‘juistheid van gegevens’) worden vermeden.

De FM-afdeling binnen een organisatie vormt uiteraard geen eiland. Vraag als FM-verantwoordelijke raad aan uw functionaris voor gegevensbescherming (indien deze functie werd gecreëerd). Of stem af met de privacyverantwoordelijke binnen uw organisatie om naleving van de GDPR te garanderen.

Het is van essentieel belang dat facility managers ook bij hun commerciële partners en serviceproviders nagaan hoe zij de aan hen toevertrouwde persoonsgegevens beschermen. De gegevens blijven de verantwoordelijkheid van de facility manager. Daarom is het hun plicht om te garanderen dat hun partners en serviceproviders ook hun bijdrage leveren in het voldoen aan de eisen van de GDPR.

GDPR misverstand #7: GDPR heeft alleen betrekking op gegevens die door gebruikers worden verschaft. Nee, de wetgeving is van toepassing op alle persoonlijke gegevens, ongeacht of die rechtstreeks door het datasubject werden verschaft, of onrechtstreeks werden verzameld.

Hoe zit het met compliance van FM-software?

Laten we duidelijk zijn: software is slechts een tool, het gaat er niet voor zorgen dat uw activiteiten en gegevensverwerking automatisch GDPR-compliant zijn. Maar het kan gegevensbeheer en GDPR-naleving vereenvoudigen. FM-software die alle gegevens centraliseert, biedt een duidelijk voordeel. Zo ook de mogelijkheid om passende toegangsrechten toe te kennen. Dit is een efficiënte manier om te beletten dat mensen toegang hebben tot persoonsgegevens die hen niet aanbelangen. Aangezien de GDPR een grotere nadruk legt op gegevensbeveiliging, is het essentieel om (gevoelige) persoonsgegevens aan de bron te kunnen beschermen. Dit kan door middel van gegevensencryptie, een mogelijk belangrijk bijkomend voordeel van software. Uw FM-softwareleverancier dient te begrijpen wat er op het spel staat en dient software in functie van GDPR-compliance te ontwikkelen.

Zo hebben wij bij MCS Solutions de volgende release (maart 2018) van ons softwareplatform van nieuwe functies voorzien. Deze wijzigingen houden rekening met de belangrijkste principes van de GDPR, zoals:

– ‘GEGEVENSBEPERKING’ (UDI-velden vervangen standaardvelden voor persoonsgegevens)
– ‘HET RECHT TE WORDEN VERGETEN’ (anoniem maken van gegevens)
– ‘TRACEERBAARHEID’ (bijhouden van volledige historiek)
– ‘JUISTE GEGEVENS’ (datasubjecten kunnen hun eigen gegevens eenvoudiger updaten of corrigeren)
– ‘GEGEVENSBEVEILIGING’ (ongebruikte gegevens versleutelen)

Het flexibel en modulair IWMS-platform MCS groeit met uw onderneming mee en helpt u de uitdagingen van vandaag aan te gaan. En daaronder valt ook de GDPR. Neem gerust contact op met ons team indien u vragen heeft over GDPR-naleving.

Verdere lectuur

Hieronder volgen nog enkele nuttige bronnen om u verder te verdiepen:

– Infografiek: GDPR in 1 minuut

Richtlijnen van het ICO rond GDPR (UK Information Commissioner’s Office)

EU GDPR: de officiële website van de EU voor de wetgeving

– De volledige wetgeving (99 artikels)