5 belangrijke stappen om je bedrijf klaar te stomen voor de GDPR
18 mei 2018 markeert het begin van de GDPR: de nieuwe Europese wetgeving voor de bescherming van data. Vanaf dan hebben Europese burgers meer inspraak over wie hun persoonsgegevens verzamelt, maar moeten bedrijven ook compliant zijn met een strenge set van regels. Desondanks voorspelt onderzoeksbureau Gartner dat minder dan de helft van de bedrijven in 2018 daadwerkelijk aan de wetgeving zullen voldoen. De marktvorser presenteert vijf stappen die compliancy iets dichterbij brengen.
1. Weet welke rol je speelt
Alleen wanneer je je statuut kent binnen de GDPR, weet je welke regels je zal moeten volgen. Zo wordt in de wetgeving een onderscheid gemaakt tussen de ‘data processor’ en de ‘data controller’. De controller is nagenoeg elk bedrijf dat beslist hoe en waarom Europese persoonsgegevens worden verwerkt: het gros van de organisaties die onder de GDPR vallen. De processor staat in voor de verwerking van die gegevens. Het kan een cloudprovider zijn, een IT-dienstverlener die analyses uitvoert, of een bureau dat de data verwerkt voor advertenties: zij doen de verwerking meestal in opdracht van de controller.
Bovendien is de wetgeving niet alleen van toepassing op bedrijven die in Europa gevestigd zijn, ook bedrijven daarbuiten die persoonsgegevens van Europese burgers verwerken of verzamelen vallen onder de wet.
2. Stel een DPO aan
Er is al veel inkt gevloeid over het onderwerp van de Data Protection Officer (DPO). Zo’n verantwoordelijke ziet toe op het verzamelen en bewaren van de data, en vormt het eerste contactpunt voor autoriteiten zoals de Privacycommissie. De aanstelling van een DPO is verplicht voor bedrijven die op systematische basis “veel data” verwerken: de wettekst is niet heel specifiek op dat vlak. Lees hier welke bedrijven op zoek moeten gaan naar een DPO.
3. Bepaal welke data waarom wordt verwerkt
Weinige organisaties hebben weet van elk proces waarin persoonsgegevens worden verwerkt, aldus Gartner, wat de voorbereiding op de GDPR enkel bemoeilijkt. In de toekomst loont het daarom om bij elk nieuw verwerkingsproces te bepalen wat het doel is van de activiteit, de relevantie van de persoonsgegevens en de kwaliteit van de data. Bijzonder om te weten: datasubjecten moeten worden ingelicht wanneer hun data wordt bijgehouden, en moeten expliciet hun toestemming geven. Aangevinkte hokjes en kleine lettertjes zijn definitief passé.
4. Check voor cross-border dataverwerking
Een bedrijf dat data verwerkt uit meerdere Europese lidstaten of gevestigd is in meerdere lidstaten doet aan ‘cross-border’ dataverwerking. Ook als je buiten de EU data verwerkt (of laat verwerken) val je onder dat statuut. Denk bijvoorbeeld aan het gebruiken van een cloudprovider in de VS waarbij Europese persoonsgegevens in een Amerikaans datacenter worden opgeslagen. In dat geval moeten er de juiste veiligheidsmaatregelen worden genomen, zoals Binding Corporate Rules (BCR’s): een set van regels, praktijken en richtlijnen die moeten worden gehandhaafd bij de transfer van persoonsgegevens buiten Europa.
5. Bereid je voor op het datasubject
De Europese burger – het ‘datasubject’ – krijgt er in mei 2018 een hoop rechten bij: het recht om vergeten te worden, het recht op dataportabiliteit en het recht om geïnformeerd te worden wanneer zijn gegevens gevaar lopen, om er maar een paar te noemen. Bedrijven moeten zich klaarmaken om bereikbaar te zijn voor de consument, en een proces voorbereiden dat toelaat om aan hun eisen tegemoet te komen.
//www.smartbiz.be/achtergrond/167961/de-gdpr-wetgeving-uitgelegd-vijf-vragen/