De GDPR Checklist. Klaar in 13 stappen.
Terug naar overzicht

De GDPR Checklist. Klaar in 13 stappen.

De nieuwe Europese privacy wetgeving —de General Data Protection Regulation, of in het kort de GDPR— wordt van kracht in mei 2018. En ook de Belgische bedrijven stellen zich maar beter in regel. De GDPR brengt immers ook nieuwe boetes mee, die kunnen oplopen tot maar liefst 4% van je totale omzet of €20 miljoen. Is jouw bedrijf klaar voor alle veranderingen? Gelukkig maakt de Privacycommissie een eenvoudig 13-stappenplan bekend.

Stap 1. Bewustmaking.

Stel niet uit tot het laatste moment, en gebruik de huidige overgangsperiode om je medewerkers te informeren over de aankomende veranderingen. Het zijn de sleutelfiguren in jouw organisatie die de GDPR moeten begrijpen, om in te schatten waar actie mogelijk vereist is.

Stap 2. Documenteer jouw data.

Breng zorgvuldig in kaart welke persoonsgegevens je verzamelt, en waar je de gegevens bewaart. Let op, dit geldt ook voor gegevens die je in het verleden hebt verzameld! Jij moet immers kunnen aantonen dat jouw organisatie volgens de principes van databescherming handelt.

Stap 3. Communiceer.

De GDPR vereist dat je een privacyverklaring aanbiedt in begrijpbare en duidelijke taal. Zo zal je bijvoorbeeld de wettelijke grondslag voor gegevensverwerking moeten meedelen, gedurende welke termijn je gegevens bijhoudt, en of je gegevens uitwisselt. Bovendien moet je duidelijk stellen dat de gebruiker steeds een klacht kan indienen bij de Privacycommissie, wanneer persoonlijke gegevens niet correct verwerkt zouden worden.

Stap 4. Rechten van de "betrokkene".

Bovenop de Belgische Privacywet zal de betrokkene, of de gebruiker van wie jij persoonsgegevens verwerkt, zich met de komst van de GDPR kunnen beroepen op een aantal bijkomende rechten. Zorg ervoor dat jouw gebruikers zeker het volgende kunnen:

  • Verzamelde gegevens inkijken.
  • Verbeteringen maken, of gegevens verwijderen
  • Direct marketing weigeren
  • Automatische profilering en besluitvorming weigeren
  • Gegevens overdragen

Stap 5. Sneller toegang tot gegevens.

De GDPR stelt dat je gratis zal moeten reageren op elk verzoek tot toegang binnen de 30 dagen (i.p.v. de huidige 45 dagen). Je dient ook te informeren over de bewaartermijn van de gegevens, en het mogelijk te maken om gegevens te corrigeren. Krijg je veel verzoeken? Dan zou een online toegangssysteem wel eens kostenbesparend kunnen zijn voor jouw bedrijf. Informeer zeker eens bij Multimedium over de mogelijkheden.

Stap 6. Leg de wettelijke grondslag vast.

Breng in kaart welke gegevensverwerkingen jij uitvoert, bepaal er telkens de wettelijke grondslag voor, en documenteer dit in jouw privacyverklaring. Dit wordt immers belangrijker met de GDPR, aangezien het invloed kan hebben op de rechten van de betrokkene. Een voorbeeld: een gebruiker heeft een sterker recht om zijn/haar gegevens te laten verwijderen, als zijn/haar toestemming aan de grondslag lag van de verwerking.

Stap 7. Toestemming.

De toestemming van de gebruiker moet telkens een gevolg zijn van een expliciete actie, waarbij hij/zij vrij, specifiek, geïnformeerd en ondubbelzinnig akkoord geeft. Een vooraf aangevinkt vakje in een online formulier is dus niet voldoende. Zorg ook voor een controlespoor zodat je de toestemming van een gebruiker altijd kan aantonen. TIP: Een "reactiveringscampagne" kan je helpen om toestemmingen te registreren. Contacteer Multimedium over deze campagnes.

Stap 8. Kinderen.

Een ouder of voogd zal steeds toestemming moeten geven voor de gegevensverwerking van kinderen (onder de 16 jaar). Dat kan natuurlijk ook gevolgen hebben voor jouw organisatie. Je kan er dan allicht ook best voor zorgen dat jouw (online) systemen klaar zijn om de leeftijd van gebruikers te achterhalen, en correct te handelen bij kinderen. Onthoud ook zeker dat de toestemming controleerbaar moet zijn, en dat je je privacyverklaring best opmaakt in —voor kinderen— begrijpbare taal.

Stap 9. Datalekken.

Zijn er persoonsgegevens gelekt? Dan heb jij een meldingsplicht. Toch tenminste als de mogelijkheid bestaat dat de gebruiker enige vorm van schade kan leiden. In sommige gevallen zal je zelf de betrokkene rechtstreeks moeten verwittigen, bijv. wanneer het lek aanleiding kan geven tot financieel verlies bij de gebruiker. Voorzie procedures om datalekken op te sporen, te rapporteren en te onderzoeken.

Stap 10. Privacy By Design. Privacy Impact Assessment (PIA).

Het is een "good practice" om gegevensbescherming van bij de start in te bouwen, en zo dus "gegevensbescherming door ontwerp" te bekomen. Als onderdeel daarvan voer je best een zogenaamde effectenbeoordeling uit (PIA). Geeft de PIA aan dat de gegevensverwerking een hoog risico inhoudt, dan is het noodzakelijk het advies van de Privacycommissie in te winnen.

Stap 11. Een functionaris voor gegevensbescherming.

Voor sommige organisaties is het nodig een functionaris aan te stellen, hetzij iemand van de organisatie, hetzij een externe adviseur. Deze draagt de verantwoordelijkheid voor het naleven van de nieuwe regels. Beoordeel of jouw organisatie deze plicht heeft, en evalueer of je aanpak voldoet aan de vereisten van de GDPR.

Stap 12. Internationaal.

Is jouw organisatie internationaal actief? Dan dien je te bepalen onder welke toezichthoudende autoriteit je valt. Het is dan ook aanbevolen om in kaart te brengen waar jouw organisatie de belangrijkste verwerking doet van persoonsgegevens. Dit om jouw "hoofdvestiging" te bepalen, en dus ook de bevoegde autoriteit.

Stap 13. Bestaande contracten.

De GDPR bevat ook bepalingen voor onderaannemingen. Beoordeel je bestaande contracten, en stuur deze bij waar nodig. Let daarbij ook op de veiligheidsmaatsregelen die worden getroffen door je verwerkers en onderaannemers.