privacywetgeving: hoe begint u er aan? Treuzel niet!

De GDPR-regels zijn vaak abstract en niet altijd eenduidig. Uw belangrijkste uitdaging? De nieuwe regels op tijd – 25 mei 2018 is echt niet meer zo veraf! – vertalen in concrete acties. Besef bovendien dat GDPR niet alleen een juridische impact heeft. Ook uw processen en technologie moeten op punt staan om de persoonsgegevens correct te verzamelen, te beheren, te controleren of … te wissen. Een hele boterham dus.

De Belgische Privacycommissie ontwikkelde een handige leidraad, een plan in 13 stappen. Wie echter denkt alles in één fase door te voeren, onderschat de impact en de workload. Soms is het zelfs raadzaam u te laten begeleiden of ondersteunen door experten.

Ziet u door de bomen het bos niet? Vraag hulp aan een expert.

Hieronder geven we een bondig overzicht van de belangrijkste to do’s.

  1. Analyseer de nieuwe regels en verplichtingen en breng de ‘hiaten’ in uw bedrijf of organisatie in kaart;

  2. Check en controleer de processen, procedures en systemen die u vandaag al toepast. En ga na voor welke persoonsgegevens u al toestemming kreeg en of die toestemming voldoet aan de nieuwe eisen;

  3. Check of het ‘privacy statement’ of de privacyverklaring van uw bedrijf alle informatie (ook de nieuwe elementen) bevat waar de persoon of betrokkene recht op heeft, zoals
  1. Houd een inventaris bij van alle verwerkingen van persoonsgegevens, samen met de doelstellingen en de wettelijke grondslag van elke verwerking;

  2. Registreer enkel de noodzakelijke data en houd ze niet langer bij dan nodig;

  3. Ga na of al uw dataleveranciers of -verwerkers compliant zijn met de nieuwe regels. Evalueer ook de bestaande contracten;

  4. Neem de passende beveiligingsmaatregelen (‘cyber security’) om de data en de toegang ertoe te beschermen;

  5. Werk een intern databeschermings- en privacybeleid uit, samen met een risk managementplan in geval van een incident of datalek;

  6. Duid iemand aan als verantwoordelijke voor de gegevensbescherming en privacy (ook als u niet verplicht bent om een DPO aan te stellen);

  7. Sensibiliseer uw medewerkers, maak ze bewust en leer ze de juiste attitude;

  8. Volg de specifieke – bijkomende – regels voor België op de voet (via de Privacycommissie). Blijf op de hoogte;

  9. Werk een intern databeschermings- en privacybeleid uit, samen met een risk managementplan.

 

Lees ook de 6 andere artikels in onze reeks over de strengere Europese privacywet.

1. het doel en toepassing van de strengere privacyregels

2. ik verwerk persoonsgegevens, wat zijn mijn verplichtingen?

3. moet ik een data protection officer aanstellen?

4. beheer(s) uw dataleveranciers en -verwerkers

5. hoge boetes bij gegevenslek of privacyinbreuk

6. wat als u data doorstuurt buiten de EU?