Maak je organisatie GDPR-proof in 13 stappen

General Data Protection Regulation?

De General Data Protection Regulation, kortweg GDPR, is een Europese wet die de privacy van de burgers van de Europese Unie aanscherpt. Deze wet borduurt voort op de Belgische privacywet, maar brengt ook een aantal belangrijke nieuwigheden die vooral te maken hebben met de manier waarop je gegevens gebruikt en opslaat. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL) legt uit hoe je je bedrijf in 13 stappen klaarstoomt voor de nieuwe wetgeving:

1. Schakel sleutelfiguren in

Spreek sleutelfiguren in je bedrijf aan en maak ze bewust van de nakende veranderingen. Zij kunnen de gevolgen inschatten en de vinger leggen op de risicogebieden in je organisatie. Op basis hiervan kan je concrete actiepunten opstellen.  

2. Breng je database in kaart

Over welke persoonsgegevens beschikt jouw bedrijf, waar komen ze vandaan en met wie heb je ze gedeeld? Het is essentieel dat je al deze informatie eerst in kaart brengt. Het is aangeraden om al je verwerkingen te registeren en GDPR schrijft voor dat je partnerorganisaties op de hoogte brengt van eventuele onnauwkeurige persoonsgegevens die je hen hebt doorgegeven.

3. Zet je privacyverklaring op punt

De GDPR eist dat je de privacyverklaring van je organisatie aanvult met de volgende items:

  • de wettelijke grondslag voor de gegevensverwerking  
  • de termijn waarin je de informatie zal bijhouden 
  • of je de gegevens gebruikt buiten de Europese Unie  
  • de mogelijkheid voor de betrokkene om een klacht in te dienen bij de Privacycommissie als zijn persoonsgegevens foutief worden verwerkt

4. Maak melding van alle rechten van de betrokkenen

Ga na of de procedures in je bedrijf alle rechten vermelden van de gebruiker, zoals informatie en toegang tot zijn persoonsgegevens, correcties en verwijdering van gegevens, bezwaar tegen direct marketingpraktijken én tegen geautomatiseerde besluitvorming & profilering en overdraagbaarheid van de gegevens. 

5. Update de toegangsprocedures

Aan verzoeken tot toegang van de gegevens moet je gratis en binnen 30 dagen gevolg geven. Om ongegronde verzoeken te kunnen weigeren, moet je de procedures aanpassen.  

6. Documenteer de wettelijke procedures

Houd bij welke gegevensverwerkingen je uitvoert, bepaal de wettelijke basis ervan en documenteer deze. Zo heb je een wettelijke grondslag die je kan helpen bij toekomstige issues. Als een consument bijvoorbeeld vraagt om de verwijdering van zijn gegevens terwijl zijn toestemming aan de basis lag van de verwerking, staat hij minder sterk. 

7. Toestemming vragen, krijgen en registreren

Omdat de consument expliciete toestemming moet hebben gegeven voor het gebruik van zijn contactgegevens, moet je duidelijke toestemmingsprocedures implementeren. Een vooraf ingevuld vakje of stilzwijgende toestemming volstaat niet.

8. Voorzie een controlesysteem voor leeftijd

Personen onder de 16 jaar hebben toestemming nodig van een ouder of opvoeder. Ontwikkel dus een controlesysteem.   

9. Stel een actieplan op voor datalekken 

Persoonlijke datalekken moet je binnen 72 uur melden en je hebt ook een procedure nodig die datalekken opspoort, rapporteert en onderzoekt.

10. Houd rekening met Privacy by Design en Privacy Impact Assessment

Denk na over de manier waarop je gegevensbescherming inbouwt in je organisatie en hoe je een effectbeoordeling uitvoert. Wie doet dit? Wie zijn de betrokkenen? Gebeurt de analyse centraal of lokaal?

11. Stel eventueel een functionaris voor gegevensbescherming aan

Check of jouw organisatie een functionaris voor gegevensbescherming aan moet stellen en bepaal welke plaats deze persoon inneemt binnen je bedrijfsstructuur. 

12. Dek je in als internationaal actief bedrijf  

Is je bedrijf internationaal actief? Dan is het slim om nu al uit te zoeken onder welke toezichthoudende autoriteit je valt bij een klacht met een internationaal karakter. 

13. Beoordeel bestaande contracten  

Bekijk je bestaande contracten met verwerkers en onderaannemers en pas eventueel de voorwaarden aan voor onderaanneming, zodat je in orde bent met de wetgeving.

Voorkom boetes en begin vandaag

Er kruipt wel wat tijd en moeite in het GDPR-proof maken van je organisatie, maar de wetgeving negeren is geen optie. Voldoe je niet aan de regels, dan riskeer je immers boetes die kunnen oplopen tot 4% van je jaarlijkse omzet. Ga dus aan de slag en maak werk van een transparant databeheer.