GDPR of General Data Protection Regulation heeft een grote impact op elk bedrijf dat persoonsgegevens verzamelt - en dat zijn er heel wat. De impact van deze wetgeving is niet te onderschatten. Daarom zal iedereen, ook wij, heel wat aanpassingen moeten doorvoeren om in lijn te zijn met deze nieuwe regels. Want wie deze nieuwe wetgeving niet volgt, riskeert zware boetes.
Hieronder geven we je alvast een aantal praktische tips mee om je op weg te helpen:
Bewustwording
Zorg ervoor dat iedereen in het bedrijf, en vooral de beslissingnemers, op de hoogte is van de GDPR en welke impact dit op de organisatie zal hebben. Stel, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor de naleving van de GDPR.
Data
Breng in kaart welke persoonlijke data je allemaal bijhoudt, van waar deze data afkomstig zijn, wat er met die data gebeurt en met wie die gedeeld worden. Op die manier krijg je een overzicht van de volledige datastromen binnen je bedrijf. Controleer ook of je bijvoorbeeld niet onbewust privacygevoelige data verwerkt in Google Analytics.
Plan
Maak een plan op met alle aanpassingen die moeten uitgevoerd worden op vlak van privacy volgens de nieuwe wetgeving.
Onderzoek daarbij:
- Onder welke grondslagen je persoonsgegevens verwerkt of wilt gaan verwerken
- Hoe je toestemming wilt verkrijgen van personen (opt-in’s) zodat je hun gegevens mag bewaren en gebruiken
- Hoe je deze gegevens zult bijhouden en verwerken
- Hoe je bestaande opt-in’s zult aanpassen zodat ze voldoen aan de nieuwe wetgeving
- Wat er dient te gebeuren bij een datalek en hoe je dit zoveel mogelijk kunt vermijden
- Hoe iemand zijn gegevens kan laten wissen en hoe dit zal verlopen
Zorg daarbij dat je over voldoende informatie beschikt en dat alles goed gedocumenteerd wordt indien iemand meer info wenst te ontvangen.
Enkele aandachtspunten
- Toestemming om gegevens te bewaren moet je zo expliciet mogelijk vragen. Dat mag niet opgenomen worden in algemene voorwaarden. Splits dit ook zoveel mogelijk op zodat het duidelijk blijft voor de persoon waar hij/zij de toestemming voor geeft.
- Pas je privacyverklaring aan. In de privacyverklaring leg je uit welke persoonsgegevens je verzamelt en hoe je deze gebruikt. Ook moet je bezoekers of klanten informeren over de rechten die ze hebben onder de GDPR zoals het recht op inzage, wijziging of verwijdering van de gegevens.
- Vink de velden in je formulier, waar je toestemming vraagt, niet op voorhand aan. De persoon zelf moet de velden aanvinken.
- Vertel duidelijk over je bedrijf en met wie de gegevens zullen gedeeld worden (indien dit het geval zou zijn).
- Sluit een verwerkersovereenkomst met alle partijen die gegevens voor jou verwerken.
- Hou alle gegevens van een opt-in zorgvuldig bij en vermeld er zeker bij waarvoor de persoon toestemming heeft gegeven, welke info ze daarover ontvangen hebben op dat moment en hoe ze toestemming gegeven hebben vb. via een formulier.
- Iemand moet heel gemakkelijk zijn/haar gegevens kunnen laten verwijderen uit je databestand. Stel hiervoor een procedure op waarbij dit snel kan afgehandeld worden. Communiceer ook duidelijk dat iedereen zijn/haar toestemming kan intrekken.
- Toestemming moet altijd vrij gegeven worden.