Neem uw agenda bij de hand en duid 25 mei 2018 met stip aan. Binnen een 3-tal maanden schiet de General Data Protection Regualtion (GDPR) uit de startblokken.
De GDPR moet de privacy van de inwoners van de verschillende Europese lidstaten waarborgen. Deze nieuwe Europese verordening zal ook voor uw organisatie een impact hebben. Zo zal u vanaf mei 2018 moeten aantonen welke persoonsgegevens u verzamelt, wat u ermee doet en hoe u die gegevens beveiligt.
Of u het nu in Keulen hoort donderen of u maakt u er niet al te druk in, wij willen u alvast op weg helpen met 10 acties om klaar te zijn voor de GDPR.
Toestemming is cruciaal bij de GDPR. U kunt niet zomaar vragen om iemands persoonsgegevens te verwerken. Volgens de GDPR moet dat vrij, specifiek, geïnformeerd en ondubbelzinnig gebeuren.
Bovendien moet u bij het vragen naar toestemming voldoen aan enkele voorwaarden. Allereerst moet er sprake zijn van een actieve handeling. Om toestemming te geven, moet er een actie plaatsvinden vanuit de persoon die de persoonsgegevens deelt. Gebeurt dit niet, is de toestemming ongeldig. Als het gaat om persoonsgegevens van minderjarigen hebt u ook de specifieke toestemming van een ouder of voogd nodig.
Ten tweede moet u de nodige aandacht besteden aan de registratie van de toestemming zodat die te controleren is. Op die manier kunt u bewijzen dat u toestemming verkreeg op een manier die conform is aan de GDPR.
Ten slotte moet u als bedrijf zich identificeren. Bij het invulformulier moet u de naam, fysisch adres en de contactgegevens van uw bedrijf vermelden. Daarnaast geeft u aan tot welk doel u deze persoonsgegevens verzamelt en welke rechten de persoon in kwestie heeft.
TIP:
Het is belangrijk om te onthouden dat elk individu het recht heeft om ‘vergeten te worden’. Vanaf het moment u gegevens anonimiseert, gaat het niet meer over persoonlijke gegevens en geldt de GDPR niet meer.
In het kader van de GDPR kan u er alleen maar baat bij hebben om alles zo nauwgezet mogelijk bij te houden. Zo zal elk bedrijf over een dataregister moeten beschikken. Hierin geeft u een zo accuraat mogelijk overzicht van alle persoonsgegevens die uw bedrijf verwerkt. Alsook bepaalt u waar die data vandaan komt en met wie ze wordt gedeeld.
In geval van een datalek, kan u aan de hand van dat dataregister aantonen dat u binnen de lijntjes van de GDPR hebt gekleurd en geen regels hebt overtreden. Het is dan ook van uiterst belang dat dit dataregister te allen tijde up-to-date wordt gehouden.
TIP:
Geen idee hoe u hieraan begint?
De Privacy-Commissie helpt u alvast op weg aan de hand van een model:
Het navolgen van de nieuwe GDPR-norm is niet enkel uw verantwoordelijkheid. Ook uw medewerkers moeten op de hoogte zijn van wat er van hen wordt verwacht. Het implementeren van de GDPR zal een kwestie zijn van teamwork.
Binnen de GDPR mag niet iedereen persoonlijke gegevens verwerken. Zo kan het dat dit noodzakelijk is voor de uitvoering van de diensten van het bedrijf. Sommige bedrijven of organisaties zijn wettelijk verplicht om persoonlijke data te verwerken. Een derde groep heeft expliciet toestemming gekregen om gegevens te verwerken.
Of u tot één van deze groepen behoort is iets dat u zelf zal moeten nagaan. Hierbij moet u zichzelf afvragen waarom u data heeft en of die data noodzakelijk is voor het bedrijf. Vergeet vooral ook niet dat u persoonlijke data zoals gegevens van prospects of cv’s van sollicitanten niet onbeperkt mag bewaren.
Het in kaart brengen van uw verwerking van persoonlijke gegevens is één zaak. Daarmee heeft u dat nog niet kenbaar gemaakt naar de buitenwereld toe. In een privacyverklaring zal u de identiteit van de verwerker van de gegevens en de manier waarop die gegevens worden gebruikt moeten meedelen. Daarnaast zal u ook het volgende moeten vermelden:
- Waarom mag u deze gegevens verwerken?
- Hoe lang gaat u ze bijhouden?
- Worden ze uitgewisseld buiten de Europese Unie?
- Hoe kan iemand klacht indienen bij de Privacy Commissie?
Een goede voorbereiding en beveiliging van uw gegevens doet veel, maar garandeert niet dat het nooit zal foutlopen. Wat als u toch wordt geconfronteerd met een datalek?
In dat geval heeft u 72 uur de tijd om dit mee te delen aan de Privacy Commissie. Houdt het lek een gevaar in voor de betrokken personen dan moeten zij uiteraard ook worden ingelicht. De GDPR stipuleert een goede voorbereiding in geval van een datalek. U moet vooraf weten hoe u een datalek zal aanpakken.
U kan bij de Privacy Commissie terecht voor de volgende informatie:
Het 13-stappenplan voor implementatie:
https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN%20NL%20-%20V2.pdf
Thema-dossier over de Data Protection Officer:
https://www.privacycommission.be/nl/themadossier-functionaris-voor-gegevensbescherming
Richtlijnen m.b.t. het Data Protection Impact Assessment:
https://www.privacycommission.be/sites/privacycommission/files/documents/wp248%20rev.01_nl.pdf