Stappenplan Uptime GDPR

Hoe zorg je ervoor dat jouw bedrijf of organisatie voldoet aan de GDPR? Wat moet je allemaal doen om helemaal in orde te zijn? De Belgische privacycommissie zorgde voor een uitgebreid stappenplan. Wij vatten de belangrijkste dingen daaruit even samen.

Het is vooraf goed om te weten dat veel van de basisprincipes en concepten uit de GDPR nu ook al terug te vinden zijn in de actuele Belgische Privacywet. Dus als je vandaag al voldoet aan de huidige wetgeving, kan je dat als uitgangspunt nemen voor de implementatie van de GDPR. Toch zijn er enkele nieuwigheden die je aandacht verdienen. We overlopen 13 stappen om volledig GDPR-compliant te worden.

  1. Bewustmaking

Zorg ervoor dat alle medewerkers in je bedrijf op de hoogte zijn van de GDPR en de implicaties ervan. Zorg ervoor dat sleutelfiguren weten wat er moet gebeuren om volledig in orde te zijn met de wetgeving.

  1. Dataregister

Breng duidelijk in kaart welke data je bewaart, waar je die bewaart en met welke partijen je deze data deelt. De privacycommissie raadt aan om hiervoor een informatie-audit te organiseren.

  1. Privacyverklaring

Controleer of je privacyverklaring nog up-to-date is. Om in orde te zijn met de GDPR moet je de privacyverklaring aanvullen met extra informatie. Je moet ondermeer de wettelijke basis voor de gegevensverwerking en de bewaarduur van de gegevens meedelen en laten weten of de gegevens ook buiten de EU gedeeld worden. De GDPR geeft verder aan dat de privacyverklaring zo duidelijk en begrijpelijk mogelijk moet zijn.

  1. Wettelijke basis

De GDPR verwacht een wettelijke basis voor gegevensverwerking die bepaalt welke rechten de gebruiker heeft. ”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,” volgens de Privacycommissie. Die wettelijke grondslag moet je in de privacyverklaring zetten en nog eens verduidelijken bij een verzoek tot inkijk.

  1. Rechten van de betrokkene

In de GDPR krijgt de “betrokkene”, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten. Je moet zorgen dat je die rechten kan vervullen. Deze rechten stonden ook al in de eerdere Belgische wetgeving, maar controleer toch best of een gebruiker volgende acties kan ondernemen:

  •  Persoonsgegevens inkijken
  •  Gegevens verbeteren of verwijderen
  •  Direct marketingpraktijken weigeren
  •  Geautomatiseerde besluitvorming en profilering weigeren
  •  Gegevens overdragen naar andere leveranciers/bedrijven
  1. Verzoek tot toegang

De gebruiker heeft het recht om zijn of haar gegevens in te kijken. Dat is nu ook al het geval, maar door de GDPR zal je echter sneller moeten reageren. Het verzoek moet binnen 30 dagen worden verwerkt, in plaats van 45 dagen voordien. Onnauwkeurige gegevens moeten op vraag van de gebruiker verbeterd worden.

  1. Toestemming

Controleer op welke manier je toestemming vraagt om gegevens te bekijken en hoe je die toestemming bewaart. Je moet ten alle tijden kunnen bewijzen dat er een expliciete toestemming is gegeven voor de persoonsgegevens die je hebt bewaard. De gebruiker moet – in tegenstelling tot voorheen – actief akkoord gaan.

  1. Minderjarigen

Je moet kunnen nagaan of gebruikers al dan niet meerderjarig zijn. Wanneer je gegevens van gebruikers onder 16 jaar verzamelt, moet je de toestemming hebben van een ouder of voogd. Bovendien moet de privacyverklaring zo geschreven zijn dat ook minderjarigen hem kunnen begrijpen.

  1. Datalekken

De GDPR omvat een verplichte meldplicht voor datalekken. Let op: in tegenstelling tot wat vaak verteld wordt, geldt dit enkel wanneer persoonsgegevens gevaar lopen. Je moet dus procedures ontwikkelen om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Wanneer bepaalde persoonsgegevens – zoals bankgegevens bijvoorbeeld – gecompromiteerd worden, moet je de gebruiker zelf waarschuwen.

  1. Privacy by Design en Privacy Impact Assessment

De twee centrale begrippen van de GDPR zijn “Privacy by Design” en “Privacy Impact Assessment”. Privacy by design draait om het inbouwen van privacy vanaf het prille begin: elk proces binnen je bedrijf moet vanaf nu rekening houden met privacy. Het houden van Privacy Impacy Assessments – waarbij de impact van elk nieuw systeem of proces op privacy wordt geanalyseerd –  maakt daar deel van uit. Zorg ervoor dat je organisatie klaar is om beide concepten effectief te implementeren.

  1. Data Protection Officer

In tegenstelling tot wat je vaak leest of hoort, heeft niet elk bedrijf een Data Protection Officer (DPO) nodig. Bekijk dus eerst of jouw bedrijf er wel een nodig heeft. De regels daaromtrent behandelen we in onze blogpost “Heeft jouw bedrijf een Data Protection Officer nodig?” Als je er een nodig hebt, weet dan dat dat niet noodzakelijk iemand hoeft te zijn die vast in dienst is of daar fulltime mee bezig is. Dat hangt af van de hoeveelheid werk die op de plank ligt. Je kan ook kiezen voor een consultant of een medewerker die de functie naast zijn bestaande job opneemt.

  1. Internationaal

Als je in verschillende landen persoonsgegevens verzamelt, moet je weten welke autoriteit toezicht houdt over jouw activiteiten. Over het algemeen wordt daarbij naar de hoofdzetel gekeken. Wanneer niet de hoofdzetel maar een afdeling in een ander land beslist over de gegevensverwerking, valt het bedrijf onder de autoriteit in dat specifieke land.

 

  1. Bestaande contracten

De GDPR is ook van toepassing op diensten en oplossingen waar je bedrijf gebruik van maakt. Gebruik je bijvoorbeeld een CRM of marketing automation oplossing, dan moet ook die GDPR-compliant zijn. Ook cloud providers vallen onder deze regel. De GDPR legt de verantwoordelijkheid om te controleren of alle diensten en oplossingen compliant zijn bij jou. Controleer dus bestaande contracten en maak de nodige aanpassingen.

Het volledige stappenplan van de Belgische Privacycommissie kan je hier downloaden.

Wat is voor jouw bedrijf de grootste struikelblok richting GDPR-compliance? Laat het ons weten via de comments hieronder.

Deze blogpost maakt deel uit van een gratis eBook waarin alle aspecten van de GDPR aan bod komen.

Download ons gratis eBook over GDPR

Gerelateerde berichten
Nucleus - Laravel

Wat is de beste manier om Laravel te hosten?

Wat is de beste manier om Laravel te hosten? Door Laravel, Forge en gebruiksvriendelijke deployments te combineren met managed hosting. Lees hier waarom!

Lees meer

Spectre en Meltdown

Spectre en Meltdown: wat was de échte impact ?

Spectre en Meltdown – en meer bepaald het patchen van de lekken – hebben zowat elke system administrator bezig gehouden de afgelopen dagen. Nu […]

Lees meer

Spectre en Meltdown

Important information regarding Meltdown & Spectre CPU vulnerabilities

By exception, this blogpost will be in English to inform all our clients. News has come out about highly critical vulnerabilities in all Intel […]

Lees meer