Achtergrond

Checklist voor de GDPR: maak je bedrijf compliant in 13 stappen

Hoe begin je aan de (lange) weg naar GDPR-compliancy? Volgens de Privacycommissie kan je al starten met deze dertien stappen: van bewustmaking tot de data protection officer. Hoe ver sta jij?

 
Bedrijven hebben nog twee jaar om zich voor te bereiden voor de GDPR. Meesten hebben nog veel vragen, terwijl de nieuwe wetgeving weinig antwoorden biedt. De Privacycommissie maakt daarom een stappenplan bekendgemaakt om Belgische bedrijven op weg te helpen. Door middel van dertien stappen kunnen bedrijven nagaan hoe ver ze staan in het proces, en wat er nog moet gebeuren. Overloop de checklist en kijk of jouw bedrijf klaar is voor de GDPR.

1. GDPR 101: Begin met bewustmaking

Om te beginnen, kan je er maar best zeker van zijn dat medewerkers in het bedrijf op de hoogte zijn van de GDPR. Informeer werknemers over de aankomende veranderingen, en zorg ervoor dat sleutelfiguren weten wat de GDPR inhoudt. Zij moeten immers aanduiden op welke vlakken het bedrijf moet ingrijpen om compliant te worden.

2. Waar staat je data?

Begin nu al met het vergaren van je data. Breng in kaart welke data je hebt bewaard en waar deze staat. Onderschat deze stap niet; niet alleen is het belangrijk om te weten waar de data zich bevindt, ook is het cruciaal om te weten met welke partijen je de informatie hebt gedeeld. Een informatie-audit kan daarbij helpen, volgens de Privacycommissie.
[related_article id=”168358″]

3. Privacyverklaring verbeteren

Ga na of je privacyverklaring nog up-to-date is. Volgens de GDPR moeten bedrijven hun privacyverklaring aanvullen met extra informatie zoals de wettelijke grondslag voor de gegevensverwerking, de duur waarvoor je de gegevens bewaart, en of je de gegevens deelt buiten de EU. Bovendien moet de gebruiker op de hoogte worden gebracht dat hij of zij eventueel misbruik van zijn of haar gegevens aan kan klagen bij de Privacycommissie. Vermijd daarbij archaïsche taal: de privacyverklaring moet zo duidelijk mogelijk zijn.

4. Rechten van de betrokkene

In de GDPR krijgt de “betrokkene”, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten. Bedrijven moeten het mogelijk maken om die rechten te vervullen. Controleer daarom of een gebruiker volgende acties kan ondernemen:
 
•  Persoonsgegevens inkijken
•  Gegevens verbeteren of verwijderen
•  Direct marketingpraktijken weigeren
•  Geautomatiseerde besluitvorming en profilering weigeren
•  Gegevens overdragen naar andere leveranciers/bedrijven
 
Normaal gezien zal je hier weinig hinder van ondervinden, aangezien de GDPR hiervoor sterk voortbouwt op de huidige privacywet.

5. Sneller gegevens inkijken

De gebruiker heeft het recht om zijn of haar gegevens in te kijken; dat is nu ook al het geval. Onder invloed van de GDPR zal een bedrijf echter sneller moeten reageren. Het verzoek moet binnen 30 dagen worden verwerkt, in plaats van 45 dagen. Bovendien moet je de gebruiker in dat geval informeren over de bewaartermijn van de gegevens, en moet je onnauwkeurige gegevens verbeteren als daar om gevraagd wordt.
 
Als je een groot aantal verzoeken moeten verwerken, kan het nuttig zijn om gebruikers toe te laten om hun gegevens online raad te plegen. De Belgische Privacycommissie raadt zulke bedrijven daarom aan een kosten/baten-analyse te organiseren om te zien of een online toegangssysteem een mogelijke oplossing is.

6. Bepaal een wettelijke grondslag voor het verwerken van persoonsgegevens

In tegenstelling tot de huidige wet, is het volgens de GDPR cruciaal om een wettelijke basis te bepalen voor de gegevensverwerking. Die basis bepaalt immers ook welke rechten de gebruiker heeft omtrent zijn gegevens.”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,” volgens de Privacycommissie. Die wettelijke grondslag moet beschreven worden in de privacyverklaring en nog eens verduidelijkt worden bij een verzoek tot inkijk.
[related_article id=”172304″]

7. Op de juiste manier toestemming vragen

Controleer op welke manier je toestemming vraagt en hoe je deze bewaart. Op de verzameling van persoonsgegevens kijkt de GDPR streng toe of je de gebruiker voldoende inlicht. Je moet ten alle tijden kunnen bewijzen dat er toestemming is gegeven voor de persoonsgegevens die je hebt bewaard. Dat moet expliciete toestemming zijn; geen vooraf aangevinkt vakje of andere vorm van “niet-handelen”. De gebruiker moet actief akkoord gaan.

8. Wat met minderjarigen?

Vanaf nu moet ook sterker worden gecontroleerd op de persoonsgegevens van minderjarigen. Indien je bedrijf de gegevens van gebruikers onder 16 jaar verzamelt, moet je de toestemming hebben van een ouder of voogd. Indien nodig moet je kunnen toetsen of deze van de ouder of voogd afkomstig is. Bovendien moet de privacyverklaring geschreven zijn zodat ook minderjarigen deze kunnen begrijpen.

9. Zorg dat je klaar bent voor een datalek

De gevreesde meldplicht: datalekken waarbij de persoonsgegevens gevaar lopen, moeten gemeld worden aan de Privacycommissie. De nodige procedures moeten dus worden ontwikkeld om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Onderzoek ook welke persoonsgegevens er toe kunnen leiden dat je de gebruiker zelf moet waarschuwen: bijvoorbeeld het geval wanneer bankgegevens gestolen worden, en de gebruiker mogelijk bestolen kan worden.

10. Privacy by design en PIA

Implementeer de twee centrale begrippen van de GDPR: privacy by design en Privacy Impact Assessment (PIA). Privacy by design draait om het inbouwen van privacy in elk systeem vanaf de conceptfase. Elk proces moet met andere woorden vanaf het begin gericht zijn op privacy. Het houden van PIA’s is daar onderdeel van: een PIA analyseert de impact van bijvoorbeeld een nieuw systeem. Begin in dat opzicht nu al met het ontwikkelen van een goede strategie: wie voert de analyse uit? In welke situaties? Hoe kunnen bestaande systemen verbeterd worden door privacy by design?
 

11. De data protection officer (of functionaris voor gegevensbescherming)

Kijk allereerst na of je een data protection officer (DPO) nodig hebt: dat is niet voor elk bedrijf verplicht. Als je er een nodig hebt, kan je al op zoek gaan naar een geschikte kandidaat. Een nieuwe, fulltime werknemer is niet per se nodig, denk ook aan een consultant, of een interne werknemer die de functie naast zijn bestaande job opneemt.
[related_article id=”168466″]

12. Internationaal

Als je in verschillende landen persoonsgegevens verzamelt, moet je nagaan welke autoriteiten toezicht houden over jouw activiteiten. Over het algemeen wordt naar de hoofdzetel gekeken: een bedrijf met een Belgische hoofdzetel, en daarnaast branches in bijvoorbeeld Nederland, valt nog steeds onder de Belgische Privacycommissie. Het kan echter ook zijn dat niet de hoofdzetel, maar een van de internationale takken beslist over de gegevensverwerking van het hele bedrijf. In dat geval valt het bedrijf onder de autoriteit in dat specifieke land. Check daarom waar de grootste beslissingen worden genomen inzake de verwerking van persoonsgegevens, en baseer je daarop om te weten welke autoriteit van kracht is.

13. Bestaande contracten

Vergis je niet, de GDPR is ook van toepassing op eventuele diensten waar je bedrijf gebruik van maakt. Gebruik je bijvoorbeeld een verwerker, een bedrijf die de persoonsgegevens verwerkt zodat jij ze kan gebruiken, dan is ook die verantwoordelijk voor de privacy van de gegevens. Opgelet: een verwerker is volgens de GDPR evengoed een cloudprovider. Ook zij moeten de GDPR naleven, en als jij hun diensten gebruikt, ben jij verantwoordelijk om te controleren of ze compliant zijn. Controleer dus bestaande contracten en maak de nodige aanpassingen.
 
//www.smartbiz.be/achtergrond/172304/gdpr-en-de-publieke-cloud-hoe-los-je-dat-op/
 

Belgische Privacycommissiebusinesseugdpritprofessionalprivacy

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken