27.02.2018

In orde met GDPR in 5 stappen

Delen op

In orde met GDPR in 5 stappen

Neem uw agenda bij de hand en duid 25 mei 2018 met stip aan. Binnen een 3-tal maanden schiet de General Data Protection Regualtion (GDPR) uit de startblokken.

De GDPR moet de privacy van de inwoners van de verschillende Europese lidstaten waarborgen. Deze nieuwe Europese verordening zal ook voor uw organisatie een impact hebben. Zo zal u vanaf mei 2018 moeten aantonen welke persoonsgegevens u verzamelt, wat u ermee doet en hoe u die gegevens beveiligt.

Of u het nu in Keulen hoort donderen of u maakt u er niet al te druk in, wij willen u alvast op weg helpen met 10 acties om klaar te zijn voor de GDPR.

Toestemming?

Toestemming is cruciaal bij de GDPR. U kunt niet zomaar vragen om iemands persoonsgegevens te verwerken. Volgens de GDPR moet dat vrij, specifiek, geïnformeerd en ondubbelzinnig gebeuren.

Bovendien moet u bij het vragen naar toestemming voldoen aan enkele voorwaarden. Allereerst moet er sprake zijn van een actieve handeling. Om toestemming te geven, moet er een actie plaatsvinden vanuit de persoon die de persoonsgegevens deelt. Gebeurt dit niet, is de toestemming ongeldig. Als het gaat om persoonsgegevens van minderjarigen hebt u ook de specifieke toestemming van een ouder of voogd nodig.

Ten tweede moet u de nodige aandacht besteden aan de registratie van de toestemming zodat die te controleren is. Op die manier kunt u bewijzen dat u toestemming verkreeg op een manier die conform is aan de GDPR.

Ten slotte moet u als bedrijf zich identificeren. Bij het invulformulier moet u de naam, fysisch adres en de contactgegevens van uw bedrijf vermelden. Daarnaast geeft u aan tot welk doel u deze persoonsgegevens verzamelt en welke rechten de persoon in kwestie heeft.

 

Acties:

  • Elke afzonderlijke doelstelling vereist expliciete goedkeuring. Als u naast nieuwsbrieven ook gerichte productinformatie en op maat gemaakte promoties naar uw klanten wil sturen, vraagt u daar beter telkens toestemming voor.
  • Ook bij het gebruik van eigen cookies is het beter dat zowel nieuwe als bestaande bezoekers een waarschuwing krijgen. Beschrijf duidelijk welke cookies worden gebruikt en waarom.
  • Een klant zal het ook waarderen als u bij het intekenen op een dienst via uw website een automatisch antwoord voorziet met een bedanking en nog eens een (dubbele) opt-in vraagt via een button.
  • Zoals bovenvermeld identificeert u uw bedrijf bij elk invulformulier aan de hand van de bedrijfsnaam, fysisch adres en de contactgegevens. Bovendien geeft u aan voor welke doeleinde(n) u de data verzamelt en welke rechten de betrokkene heeft.

TIP:

Het is belangrijk om te onthouden dat elk individu het recht heeft om ‘vergeten te worden’. Vanaf het moment u gegevens anonimiseert, gaat het niet meer over persoonlijke gegevens en geldt de GDPR niet meer.

Leg een dataregister aan

In het kader van de GDPR kan u er alleen maar baat bij hebben om alles zo nauwgezet mogelijk bij te houden. Zo zal elk bedrijf over een dataregister moeten beschikken. Hierin geeft u een zo accuraat mogelijk overzicht van alle persoonsgegevens die uw bedrijf verwerkt. Alsook bepaalt u waar die data vandaan komt en met wie ze wordt gedeeld.

In geval van een datalek, kan u aan de hand van dat dataregister aantonen dat u binnen de lijntjes van de GDPR hebt gekleurd en geen regels hebt overtreden. Het is dan ook van uiterst belang dat dit dataregister te allen tijde up-to-date wordt gehouden.

Acties:

  • Hoe slaat u data op binnen uw bedrijf? Denk daarbij aan een lokale server, dropbox, wetransfer, mobiele toestellen met toegang tot bedrijfsinformatie, afgedrukte data, kladafdrukken,… Zorg steeds dat u weet wie wat doet en waarom op uw server.

TIP:

Geen idee hoe u hieraan begint?
De Privacy-Commissie helpt u alvast op weg aan de hand van een model:

 Download het hier!

Onderneem interne stappen

Het navolgen van de nieuwe GDPR-norm is niet enkel uw verantwoordelijkheid. Ook uw medewerkers moeten op de hoogte zijn van wat er van hen wordt verwacht. Het implementeren van de GDPR zal een kwestie zijn van teamwork.

Acties:

  • Zorg voor voldoende omkadering via een presentatie, opleiding of workshop voor medewerkers.
  • Een ‘Data Protection Officer’ binnen het bedrijf of een externe adviseur kan misschien geen kwaad. Deze persoon is verantwoordelijk voor de naleving van de GDPR, verzoeken hieromtrent en andere privacy wetgeving. Een aantal bedrijven en organisaties zijn verplicht om een DPO aan te stellen zoals overheden of verwerkers die op grote schaal regelmatig en stelselmatig privacygegevens observeren.

 

Maak uw nieuwe manier van werken kenbaar

Binnen de GDPR mag niet iedereen persoonlijke gegevens verwerken. Zo kan het dat dit noodzakelijk is voor de uitvoering van de diensten van het bedrijf. Sommige bedrijven of organisaties zijn wettelijk verplicht om persoonlijke data te verwerken. Een derde groep heeft expliciet toestemming gekregen om gegevens te verwerken.

Of u tot één van deze groepen behoort is iets dat u zelf zal moeten nagaan. Hierbij moet u zichzelf afvragen waarom u data heeft en of die data noodzakelijk is voor het bedrijf. Vergeet vooral ook niet dat u persoonlijke data zoals gegevens van prospects of cv’s van sollicitanten niet onbeperkt mag bewaren.

Het in kaart brengen van uw verwerking van persoonlijke gegevens is één zaak. Daarmee heeft u dat nog niet kenbaar gemaakt naar de buitenwereld toe. In een privacyverklaring zal u de identiteit van de verwerker van de gegevens en de manier waarop die gegevens worden gebruikt moeten meedelen. Daarnaast zal u ook het volgende moeten vermelden:

- Waarom mag u deze gegevens verwerken?
- Hoe lang gaat u ze bijhouden?
- Worden ze uitgewisseld buiten de Europese Unie?
- Hoe kan iemand klacht indienen bij de Privacy Commissie?

Acties:

  • Overeenkomsten, algemene voorwaarden, bestelbonnen en privacyverklaring moeten beantwoorden aan de nieuwe regelgeving binnen de GDPR.
  • Het navolgen van de GDPR gaat verder dan uw bedrijf alleen. Als u activiteiten zoals transport, telemarketing, boekhouding uitbesteedt aan onderaannemers dient u afspraken te maken met die betrokken partijen. Het is voor u net zo belangrijk dat uw onderaannemers op dezelfde manier omgaan met de gegevens die u ze verstrekt zoals u dat doet. Ze moeten dat doen volgens uw opgegeven doelstellingen en moeten die gegevens op een veilige plek opslaan.

 

Wat als het fout loopt?

Een goede voorbereiding en beveiliging van uw gegevens doet veel, maar garandeert niet dat het nooit zal foutlopen. Wat als u toch wordt geconfronteerd met een datalek?

In dat geval heeft u 72 uur de tijd om dit mee te delen aan de Privacy Commissie. Houdt het lek een gevaar in voor de betrokken personen dan moeten zij uiteraard ook worden ingelicht. De GDPR stipuleert een goede voorbereiding in geval van een datalek. U moet vooraf weten hoe u een datalek zal aanpakken.

Acties:

  • Hiervoor stelt u een data disaster plan op. Aan de hand van adequaat uitgebouwde procedures kunt u datalekken zo snel mogelijk opsporen, onderzoeken en melden waar nodig. Ook hier moeten de betrokken personen op de hoogte gebracht worden. Fouten bij het voorkomen en behandelen van datalekken kan bestraft worden met boetes bovenop de boete voor het datalek zelf. Een gewaarschuwd man is er bij deze dus twee waard.

 

Meer info?

U kan bij de Privacy Commissie terecht voor de volgende informatie:

Het 13-stappenplan voor implementatie:
https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN%20NL%20-%20V2.pdf

Thema-dossier over de Data Protection Officer:
https://www.privacycommission.be/nl/themadossier-functionaris-voor-gegevensbescherming

Richtlijnen m.b.t. het Data Protection Impact Assessment:
https://www.privacycommission.be/sites/privacycommission/files/documents/wp248%20rev.01_nl.pdf

 

Zit u met een prangende vraag rond GDPR voor uw website?
Wij zoeken het graag voor u uit.

Contacteer ons gerust

Om u beter van dienst te zijn, maakt deze website gebruik van cookies. Als u verder surft op deze website gaat u akkoord met het plaatsen van deze cookies. Onze privacy policy vindt u hier.