E-learning en de algemene verordening inzake gegevensbescherming (GDPR)

De Europese verordening inzake de bescherming van persoonsgegevens (GDPR) trad op 25 mei 2018 in werking. In het merendeel van de bedrijven bereiden de IT- en juridische afdelingen zich voor op de implementatiedatum, en Dokeos vormt hierop geen uitzondering. Kort overzicht van zaken voor de opleidingsafdeling

De bescherming van persoonsgegevens is geen nieuw onderwerp. De tenuitvoerlegging van de BBPR zal echter een aantal belangrijke nieuwe elementen introduceren:

1 / De harmonisatie van de regels op Europees niveau, met name die waarbij bedrijven over een bepaald aantal tools moeten beschikken om de gegevensverwerking te kunnen volgen. Het zal nu in heel Europa verplicht zijn om te weten wanneer en hoe gegevens zijn verzameld, geregistreerd, opgeslagen, overgedragen en verwijderd.
2 / De verplichting om gebruikers te informeren over het specifieke beoogde gebruik van de gegevens die hen betreffen. Verzamelaars van gegevens moeten de uitdrukkelijke toestemming van personen krijgen voor het gebruik van hun persoonsgegevens.

Om aan deze verplichting te voldoen, werkt Dokeos aan het toevoegen van duidelijke verklaringen in alle belangrijke fasen van de gegevensverzameling en -verwerking (aanmaken van een account door de beheerder van het platform, activeren van een account door de leerling, etc.).

GDPR en LMS: hoe verantwoordingsplicht op te bouwen

Bedrijven die privégegevens van hun werknemers gebruiken, moeten nu bepalen of deze gegevens voor een specifiek, gepast en relevant doel worden verzameld. Bovendien verbinden zij zich ertoe om nauwkeurige of geactualiseerde gegevens te bewaren, die voor elke betrokkene identificeerbaar zijn en beschermd zijn tegen elke ongeoorloofde verwerking.

Personen die hebben ingestemd met het gebruik van deze gegevens kunnen van gedachten veranderen en de verantwoordelijke voor de verwerking vragen deze informatie zo snel mogelijk te wijzigen of te verwijderen (recht om te worden vergeten).

Elke persoon die betrokken is bij de gegevens voor een LMS moet zich bewust zijn van zijn of haar verantwoordelijkheden en de risico’s in geval van niet-naleving van de regels inzake gegevensbescherming. Om dit bewustzijn te bevorderen, bereidt Dokeos voor haar klanten een contractwijziging voor waarin de GPDR in de juiste context wordt geplaatst.

Gegevenstraceerbaarheid en technische documentatie voor procedures

The GDPR also aims to take all possible situations into account. To do this, it is important that the  procedures for all stages of data processing be documented — creation, enrichment, modification, deletion.

Imagine a learner asking their training manager to delete their data. The technical documentation must specify the list of persons who have been authorised by the employer to delete the data, the different places where the data is stored and the procedure for deleting it. The period in which Dokeos must make this operation possible will also be specified, as will the procedure for deleting any backups.

It is also important to be able to trace the  data flow to third parties, be they partners with whom the Dokeos LMS is interfaced or the customer’s HRIS.

 

Doelstelling: 100% geëncrypteerd  

De GDPR houdt ook een versterking van de gegevensversleuteling in. Met andere woorden, in het geval van een veiligheidsinbreuk zullen kwaadwillige hackers de gegevens niet kunnen ontcijferen. In het geval dat ze toegang krijgen, zullen de gegevens onbruikbaar zijn omdat ze onleesbaar zijn. We zijn ook van plan om de frequentie van de pentests te verhogen om het risico op veiligheidsinbreuken, een inherent risico voor elke toepassing of software in SaaS-modus, verder te verminderen.

 

Sancties

De verordening geeft de toezichthoudende instantie de bevoegdheid om financiële sancties op te leggen tot 4% van de totale jaaromzet van een onderneming of 20 miljoen euro (de hoogste waarde is van toepassing).  Als leverancier is Dokeos verantwoordelijk voor de gegevens die door elke klant aan haar worden toevertrouwd met betrekking tot hun personeel. Deze verantwoordelijkheid is niet nieuw. Wat wel verandert zijn de rechten van de gebruiker: het recht om toestemming te weigeren, het recht op wissen en het recht op overdraagbaarheid, d.w.z. het recht om de verstrekte gegevens over te dragen aan een andere verantwoordelijke voor de verwerking.

 

Encryptie, procedures, technische documentatie, softwareverbetering, contractwijzigingen…: naleving van het RGDP is al enkele maanden een van de belangrijkste prioriteiten van Dokeos. Aarzel niet om contact met ons op te nemen als u vragen heeft.  Contacteer ons

More news