STAPPENPLAN VOOR

Recommendations

Info

STAPPENPLAN VOOR GDPR COMPLIANCE Hoe zorg je ervoor dat jouw bedrijf of organisatie voldoet aan de GDPR? Wat moet je allemaal doen om helemaal in orde te zijn? De Belgische privacycommissie zorgde voor een uitgebreid stappenplan. Wij namen dit als basis voor dit hoofdstuk en vatten de belangrijkste dingen daaruit even samen. Het is vooraf goed om te weten dat veel van de basisprincipes en concepten uit de GDPR nu ook al terug te vinden zijn in de actuele Belgische Privacywet (wet van 8 december 1992). Dus als je vandaag al voldoet aan de huidige wetgeving, kan je dat als uitgangspunt nemen voor de implementatie van de GDPR. Toch zijn er nog veel nieuwigheden die jouw extra aandacht verdienen. We overlopen 13 stappen die de Privacycommissie aanbeveelt om volledig GDPR-compliant te worden. 2. REGISTER VAN VERWERKINGSACTIVITEITEN Breng duidelijk in kaart welke persoonsgegevens je verwerkt, waarom je die verwerkt, waar je die bewaart, met welke partijen je deze persoonsgegevens deelt, enz. Je kan hiervoor een informatie-audit organiseren. 3. PRIVACYVERKLARING Controleer of je privacyverklaring nog up-to-date is. Om in orde te zijn met de GDPR moet je de privacyverklaring aanvullen met extra informatie. Je moet onder meer de wettelijke basis voor de gegevensverwerking en de bewaarduur van de gegevens meedelen en laten weten of de gegevens ook buiten de EU gedeeld worden. De GDPR geeft verder aan dat de privacyverklaring zo duidelijk en begrijpelijk mogelijk moet zijn. 4. WETTELIJKE BASIS Net zoals de Belgische Privacywet, vereist de GDPR een wettelijke basis voor gegevensverwerking. De bepaling van die wettelijke basis is zeer belangrijk omdat die ook deels bepaalt welke rechten de gebruiker heeft. ”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,” volgens de Privacycommissie. Die wettelijke grondslag moet je in de privacyverklaring zetten en nog eens verduidelijken bij een verzoek tot toegang tot persoonsgegevens. 5. RECHTEN VAN DE BETROKKENE 1. BEWUSTMAKING Zorg ervoor dat alle medewerkers in je bedrijf op de hoogte zijn van de GDPR en de implicaties ervan. Zorg ervoor dat beslissingsmakers weten wat er moet gebeuren om volledig in orde te zijn met de wetgeving. In de GDPR krijgt de “betrokkene”, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten en worden bestaande rechten verruimd. Je moet zorgen dat je die rechten kan vervullen. Deze rechten stonden ook al in de eerdere Belgische wetgeving, maar controleer toch best of een gebruiker de volgende acties kan ondernemen: • toegang vragen tot persoonsgegevens • vragen om gegevens te verbeteren of te verwijderen • vragen om de gegevensverwerking te beperken • zich verzetten tegen een verwerking voor direct marketing • niet onderworpen te worden aan geautomatiseerde besluitvorming en profilering • gegevens in een gestructureerd, gangbaar en machineleesbaar formaat overdragen naar andere leveranciers/ bedrijven North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be NUCLEUS Uptime-as-a-Service 4
6. VERZOEK TOT TOEGANG De gebruiker heeft het recht om zijn of haar gegevens en informatie over de verwerking van zijn gegevens in te kijken. Dat is nu ook al het geval, maar door de GDPR zal je sneller moeten reageren. Het verzoek moet binnen 30 dagen worden verwerkt, in plaats van 45 dagen voordien. 7. TOESTEMMING Als toestemming de wettelijke basis is voor een gegevensverwerking, controleer dan op welke manier je toestemming vraagt om gegevens te verwerken en hoe je die toestemming bewaart. Je moet op elk moment kunnen bewijzen dat er een ondubbelzinnige toestemming is gegeven voor de verwerking van persoonsgegevens die je uitvoert. De gebruiker moet – in tegenstelling tot voorheen - actief akkoord gaan (een positieve handeling stellen), bv. via het aanvinken van een vakje. wordt geanalyseerd - is een voorbeeld van hoe je Data Protection by Design in praktijk kan omzetten. Zorg ervoor dat je organisatie klaar is om beide concepten effectief te implementeren. 11. DATA PROTECTION OFFICER In tegenstelling tot wat je vaak leest of hoort, heeft niet elk bedrijf een Data Protection Officer (DPO) nodig. Bekijk dus eerst of jouw bedrijf verplicht is om een DPO aan te stellen, al is het idee dat één persoon de opvolging van gegevensbescherming in zijn takenpakket heeft wellicht nuttig voor elk bedrijf. De regels rond het aanstellen van Data Protection Officers, behandelen we in onze hoofdstuk “Heeft jouw bedrijf een Data Protection Officer nodig?”. Als je er een nodig hebt, weet dan dat dat niet noodzakelijk iemand hoeft te zijn die vast in dienst is of daar fulltime mee bezig is. Je kan ook kiezen voor een consultant of een medewerker die de functie naast zijn bestaande job opneemt. 8. MINDERJARIGEN Je moet nagaan of gebruikers al dan niet meerderjarig zijn. Wanneer je gegevens van gebruikers onder 16 jaar verzamelt, moet je de toestemming hebben van een ouder of voogd. Bovendien moet de privacyverklaring zo geschreven zijn dat ook minderjarigen hem kunnen begrijpen. 9. DATALEKKEN De GDPR omvat een verplichte meldplicht voor datalekken. Je moet dus procedures ontwikkelen om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Wanneer bepaalde persoonsgegevens met een hoog risico – zoals bankgegevens bijvoorbeeld – gecompromiteerd worden, moet je de gebruiker zelf waarschuwen. 10. DATA PROTECTION BY DESIGN EN DATA PROTECTION IMPACT ASSESSMENT Twee zeer belangrijke begrippen van de GDPR zijn “Data Protection by Design” en “Protection Impact Assessment”. Data Protection by Design draait om het inbouwen van privacy vanaf het prille begin: elk proces binnen je bedrijf moet vanaf nu rekening houden met gegevensbescherming. Het houden van Data Protection Impact Assessments – waarbij de risico’s van elk nieuwe systeem of proces met gegevensverwerking 12. INTERNATIONAAL Als je in verschillende landen persoonsgegevens verzamelt, moet je weten welke autoriteit toezicht houdt over jouw activiteiten. Over het algemeen wordt daarbij naar de hoofdzetel gekeken. Wanneer niet de hoofdzetel maar een afdeling in een ander land beslist over de gegevensverwerking, valt het bedrijf onder de autoriteit in dat specifieke land. Hou er ook rekening mee dat er strenge regels bestaan wanneer persoonsgegevens over de Europese landsgrenzen reizen of van buiten Europa toegankelijk zijn. 13. BESTAANDE CONTRACTEN De GDPR heeft ook een impact op de diensten en oplossingen waar je bedrijf gebruik van maakt. Gebruik je bijvoorbeeld een CRM of marketing automation oplossing, dan moet ook die GDPR-compliant zijn. Ook cloud providers vallen onder de regels. De GDPR legt de verantwoordelijkheid om te controleren of alle diensten en oplossingen compliant zijn bij jou. Controleer dus bestaande contracten en maak de nodige aanpassingen. Het volledige stappenplan van de Belgische Privacycommissie kan je hier downloaden. North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be NUCLEUS Uptime-as-a-Service 5
Page 1 and 2: North Trade Building Noorderlaan 13
Page 3: 4. WAT STAAT ER IN DE GDPR? De GDPR
Page 7 and 8: IS JOUW CLOUD PROVIDER KLAAR VOOR G
Page 9: OVER ONS Wat er ook gebeurt, bij on

Nucleus-Ebook-Hoe-maak-je-jouw-bedrijf-GDPR-compliant

Transform your PDFs into Flipbooks and boost your revenue!

Nucleus-Ebook-Hoe-maak-je-jouw-bedrijf-GDPR-compliant

Transform your PDFs into Flipbooks and boost your revenue!

Delete template?

Save as template ?