Stappenplan voor GDPR compliance

Hoe zorg je ervoor dat jouw bedrijf of organisatie voldoet aan de GDPR? Wat moet je allemaal doen om helemaal in orde te zijn? De Belgische privacycommissie zorgde voor een uitgebreid stappenplan voor GDPR compliance. Wij vatten de belangrijkste dingen daaruit even samen.

Download het volledige stappenplan van de Belgische Privacycommissie

Het is vooraf goed om te weten dat veel van de basisprincipes en concepten uit de GDPR nu ook al terug te vinden zijn in de actuele Belgische Privacywet. Dus als je vandaag al voldoet aan de huidige wetgeving, kan je dat als uitgangspunt nemen voor de implementatie van de GDPR. Toch zijn er enkele nieuwigheden die je aandacht verdienen. We overlopen 13 stappen om volledig GDPR-compliant te worden.

1. Bewustmaking

Zorg ervoor dat alle medewerkers in je bedrijf op de hoogte zijn van de GDPR en de implicaties ervan. Zorg ervoor dat sleutelfiguren weten wat er moet gebeuren om volledig in orde te zijn met de wetgeving.

2. Dataregister

Breng duidelijk in kaart welke data je bewaart, waar je die bewaart en met welke partijen je deze data deelt. De privacycommissie raadt aan om hiervoor een informatie-audit te organiseren.

3. Privacyverklaring

Controleer of je privacyverklaring nog up-to-date is. Voor GDPR compliance moet je de privacyverklaring aanvullen met extra informatie. Je moet ondermeer de wettelijke basis voor de gegevensverwerking en de bewaarduur van de gegevens meedelen en laten weten of de gegevens ook buiten de EU gedeeld worden. De GDPR geeft verder aan dat de privacyverklaring zo duidelijk en begrijpelijk mogelijk moet zijn.

4. Wettelijke basis

De GDPR verwacht een wettelijke basis voor gegevensverwerking die bepaalt welke rechten de gebruiker heeft. ”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,” volgens de Privacycommissie. Die wettelijke grondslag moet je in de privacyverklaring zetten en nog eens verduidelijken bij een verzoek tot inkijk.

5. Rechten van de betrokkene

In de GDPR krijgt de “betrokkene”, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten. Je moet zorgen dat je die rechten kan vervullen. Deze rechten stonden ook al in de eerdere Belgische wetgeving, maar controleer toch best of een gebruiker volgende acties kan ondernemen:

  • Persoonsgegevens inkijken
  • Gegevens verbeteren of verwijderen
  • Direct marketingpraktijken weigeren
  • Geautomatiseerde besluitvorming en profilering weigeren
  • Gegevens overdragen naar andere leveranciers/bedrijven

6. Verzoek tot toegang

De gebruiker heeft het recht om zijn of haar gegevens in te kijken. Dat is nu ook al het geval, maar door de GDPR zal je echter sneller moeten reageren. Het verzoek moet binnen 30 dagen worden verwerkt, in plaats van 45 dagen voordien. Onnauwkeurige gegevens moeten op vraag van de gebruiker verbeterd worden.

7. Toestemming

Controleer op welke manier je toestemming vraagt om gegevens te bekijken en hoe je die toestemming bewaart. Je moet ten alle tijden kunnen bewijzen dat er een expliciete toestemming is gegeven voor de persoonsgegevens die je hebt bewaard. De gebruiker moet – in tegenstelling tot voorheen – actief akkoord gaan.

8. Minderjarigen

Je moet kunnen nagaan of gebruikers al dan niet meerderjarig zijn. Wanneer je gegevens van gebruikers onder 16 jaar verzamelt, moet je de toestemming hebben van een ouder of voogd. Bovendien moet de privacyverklaring zo geschreven zijn dat ook minderjarigen hem kunnen begrijpen.

9. Datalekken

De GDPR omvat een verplichte meldplicht voor datalekken. Let op: in tegenstelling tot wat vaak verteld wordt, geldt dit enkel wanneer persoonsgegevens gevaar lopen. Je moet dus procedures ontwikkelen om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Wanneer bepaalde persoonsgegevens – zoals bankgegevens bijvoorbeeld – gecompromiteerd worden, moet je de gebruiker zelf waarschuwen.

10. Privacy by Design en Privacy Impact Assessment

De twee centrale begrippen voor GDPR compliance zijn “Privacy by Design” en “Privacy Impact Assessment”. Privacy by design draait om het inbouwen van privacy vanaf het prille begin: elk proces binnen je bedrijf moet vanaf nu rekening houden met privacy. Het houden van Privacy Impacy Assessments – waarbij de impact van elk nieuw systeem of proces op privacy wordt geanalyseerd –  maakt daar deel van uit. Zorg ervoor dat je organisatie klaar is om beide concepten effectief te implementeren.

11. Data Protection Officer

In tegenstelling tot wat je vaak leest of hoort, heeft niet elk bedrijf een Data Protection Officer (DPO) nodig. Bekijk dus eerst of jouw bedrijf er wel een nodig heeft. De regels daaromtrent behandelen we in onze blogpost “Heeft jouw bedrijf een Data Protection Officer nodig?” Als je er een nodig hebt, weet dan dat dat niet noodzakelijk iemand hoeft te zijn die vast in dienst is of daar fulltime mee bezig is. Dat hangt af van de hoeveelheid werk die op de plank ligt. Je kan ook kiezen voor een consultant of een medewerker die de functie naast zijn bestaande job opneemt.

12. Internationaal

Als je in verschillende landen persoonsgegevens verzamelt, moet je weten welke autoriteit toezicht houdt over jouw activiteiten. Over het algemeen wordt daarbij naar de hoofdzetel gekeken. Wanneer niet de hoofdzetel maar een afdeling in een ander land beslist over de gegevensverwerking, valt het bedrijf onder de autoriteit in dat specifieke land.

13. Bestaande contracten

De GDPR is ook van toepassing op diensten en oplossingen waar je bedrijf gebruik van maakt. Gebruik je bijvoorbeeld een CRM of marketing automation oplossing, dan moet ook die GDPR-compliant zijn. Ook cloud providers vallen onder deze regel. De GDPR legt de verantwoordelijkheid voor het controleren van de GDPR compliance van alle diensten en oplossingen bij jou. Controleer dus bestaande contracten en maak de nodige aanpassingen.