GDPR binnen mijn onderneming: hoe pak ik dat aan?

19 september 2017 Inzichten / GDPR binnen mijn onderneming: hoe pak ik dat aan?

Op 25 mei 2018 treedt de General Data Protection Regulation (kortweg: GDPR) in werking, en dat zullen we geweten hebben. Het vierletterwoord scoort maar liefst 3.370.000 hits bij een zoekopdracht met Google. De meeste zoekresultaten leggen maar al te vaak de nadruk op de torenhoge boetes of schadevergoedingen die je te wachten staan als je niet op tijd in regel bent met de nieuwe regelgeving. Verandering is nodig, maar angst hoeft daar geen synoniem voor te zijn. De nieuwe wetgeving is geen bedreiging, maar een opportuniteit voor elk bedrijf.

Dit is een guest blog post van Ingrid De Poorter van advocatenkantoor De Groote - De Man. , onze vaste GDPR partner.

De vernieuwde regelgeving rond privacy- en databescherming is er namelijk op gericht de bescherming van het individu in de digitale economie te versterken, het vertrouwen te winnen en zo meer business te genereren voor alle bedrijven.

Na onze vorige blogpost “In orde met de GDPR in 10 stappen”, illustreren we in deze post welke praktische werkwijze je kan hanteren om dit stappenplan toe te passen op jouw onderneming. Om aan te tonen dat het niet zo moeilijk hoeft te zijn als sommigen beweren, maken we gebruik van een concreet voorbeeld: het uitbaten van een webshop.

GDPR in de praktijk

Ingrid De Poorter legt uit hoe je de GDPR kan ombuigen naar een opportuniteit voor je organisatie. 

Know your business

Meten is weten. Daarmee bedoelen we niet dat de GDPR een exacte wetenschap is, maar wel dat je met kennis van zaken van start moet gaan. In de eerste plaats betekent het dat je de bedrijfsstructuur van je onderneming goed in kaart brengt. Maak een onderscheid tussen de verschillende bedrijfsprocessen en begrijp de onderlinge uitwisseling van gegevens.

Voor bedrijfsprocessen kan gedacht worden aan: Finance/Accounting, HR, Operations, Sales, Marketing, IT, Legal, … . De verscheidenheid aan processen zal variëren naargelang de grootte van je onderneming, maar voor iedere onderneming geldt: ga overzichtelijk te werk en bekijk proces per proces of je compliant bent of niet.

Bijvoorbeeld: Je baat een standaard webshop uit gericht op de verkoop van kinderkleding. Alle kledij wordt vanuit een eigen magazijn geleverd aan de klant. Eén van de belangrijkste dataflows binnen je webshop bevindt zich in je salesproces van e-commerce, namelijk wanneer klanten een effectieve aankoop en betaling realiseren en vaak ook een profiel moeten aanmaken hiervoor.

Go with the (data)flow

Eens je voor ogen hebt welk bedrijfsproces je onder handen wil nemen, zal je de dataflows overzichtelijk en duidelijk in kaart brengen. In essentie komt het erop neer dat je van begin tot einde kan zeggen welk traject (persoonlijke) data binnen en eventueel buiten je onderneming aflegt. Van een rechtlijnige afbakening zal niet altijd sprake zijn. Bepaalde persoonlijke data zullen immers doorheen verschillende bedrijfsprocessen en -afdelingen stromen.

Deze voorbereiding komt later ook van pas bij het dataregister. Twee vliegen in één klap dus!

Tip: maak gebruik van flowcharts om de verschillende processen en dataflows binnen je bedrijf te visualiseren.

Een mogelijke flowchart van je online bestellingsysteem kan er als volgt uitzien:

Ready, set, audit

Wanneer de dataflow in kaart is gebracht, kan je met een grondigere audit of gap-analyse beginnen. Op dat moment weet je namelijk over welke persoonlijke data je beschikt, waarvoor je ze gebruikt en waar ze heen gaat.

Bijvoorbeeld: in het kader van een webshop is het gebruikelijk om de contactgegevens (naam, e-mail, leveringsadres), de betaalgegevens, de login en het paswoord van de klant te verzamelen. Heel vaak gaat men ook het koopgedrag van de klant monitoren en analyseren via cookies.

Enkele basisvragen voor zo’n gap-analyse zijn bijvoorbeeld:

1. Op welke basis verwerk ik de persoonlijke data?

Het verwerken van persoonlijke data is rechtmatig wanneer ze gebaseerd is op de toestemming van de betrokkene of wanneer de verwerking noodzakelijk is in uitvoering van een overeenkomst of om te voldoen aan een wettelijke verplichting.

Bijvoorbeeld: bij een webshop is er geen wettelijke verplichting om persoonlijke data te verwerken. Je zal dus de toestemming (opt-in) van je klanten moeten hebben. Check of je nu al een opt-in hebt en of die duidelijk genoeg is en expliciet is (de klant moet actief iets aanvinken).

2. Is de verwerking van deze data noodzakelijk voor de uitvoering van mijn diensten?

Houd steeds rekening met het principe van doelbinding of dataminimalisatie, dat veronderstelt dat de rechtmatigheid van de verwerking zich beperkt tot hetgeen strikt noodzakelijk is of tot het specifieke doel waarvoor de toestemming bekomen is.

Bijvoorbeeld: je klant plaatst een bestelling via je webshop. Je kan zijn persoonlijke gegevens verwerken in het kader van de levering, facturatie of een eventuele ingebrekestelling aangezien dit noodzakelijk is voor de uitvoering van je dienst. Gebruik je zijn gegevens achteraf om hem een tevredenheidsenquête toe te sturen dan zal je hiervoor een uitdrukkelijke toestemming nodig hebben aangezien dit niet langer noodzakelijk is voor de uitvoering van je dienst. Meestal zal deze toestemming bij het plaatsen van de bestelling gevraagd worden.

3. Deel ik de persoonlijke data met derden?

Het doorverkopen van een klantenbestand gebeurt in de praktijk heel vaak, maar vergt de nodige omzichtigheid. De GDPR verbiedt dat niet. Zorg wel dat je over de vereiste toestemming beschikt en je transparant en duidelijk communiceert over deze overdracht aan de betrokkenen. Weet met welke derde je zaken doet en dek je aansprakelijkheid contractueel goed in.

Bijvoorbeeld: via je webshop verkoop je kinderkleding maar je deelt de e-mailadressen van je klanten met een bevriende webshop in speelgoed. Zorg ervoor dat je klanten hier een opt-in voor geven en dat je een duidelijk contract hebt met deze partner.

4. Hoe houd ik de persoonlijk data bij en voor hoe lang houd ik ze bij?

Er worden verstrengde eisen gesteld aan de gegevensopslag en de termijnen waarbinnen je de persoonlijk data mag opslaan. Ga na of je databases correct beveiligd zijn en of je een procedure voorhanden hebt wanneer een datalek zou plaatsvinden. Houd rekening met het principe van dataretentie en besef dat ook de opslag van persoonlijke data een reden vereist en in tijd wordt beperkt.

Bijvoorbeeld: de klantendata zal je met de nodige paswoorden veilig moeten opslaan; de nodige firewalls zullen moeten worden voorzien. Het is bijvoorbeeld ook belangrijk dat niet iedereen in je organisatie toegang heeft tot de klantenlijsten of ze bijvoorbeeld kan downloaden. Je klanten zijn cruciaal voor je onderneming en je wil niet dat die in verkeerde handen - bijvoorbeeld bij de concurrenten - terecht komen.

Ook zullen de bestaande contracten binnen je onderneming grondig moeten worden bekeken.

Don’t complain, just comply

Met de resultaten uit de gap-analyse of audit kan je vervolgens de remediëringsfase aanvatten. Remediëren is mogelijk door:

1. Het aanpassen of invoeren van contracten

De principes van de GDPR zullen in de contracten met klanten, leveranciers of zelfs werknemers moeten worden opgenomen. Je zal op een duidelijke en transparante manier met de betrokkene moeten communiceren over de verwerking van zijn gegevens of aangeven wat er met de data kan, mag of moet gebeuren.

Geef je data door aan derden (bv. hosting of doorverkoop van gegevens), dan moet je garanties krijgen dat de data in overeenstemming met de GDPR wordt verwerkt. Het aanpassen van bestaande clausules in samenwerkings- en/of dienstverleningsovereenkomsten kan nodig zijn gelet op de verruimde aansprakelijkheid die wordt ingevoerd.

2. Het aanbrengen van (extra) IT-databeveiliging

Neem naast organisatorische maatregelen ook voldoende technische maatregelen om het vereiste beveiligingslevel te garanderen. Denk aan: netwerk- en applicatiebeveiliging, malware bescherming, sterke authenticatie, storage en back-up, data encryptie, fysieke beveiliging van het datacenter, beveiliging van mobiele toestellen, monitoring en rapportering. Zorg er ook voor dat je op tijd en stond een security audit organiseert.

3. Het aanpassen of invoeren van procedures

De GDPR verwacht dat je een aantal procedures uitwerkt en invoert, bijvoorbeeld voor klachten, datalekken, het aanleggen van een dataregister, ..

De procedures reflecteren de wijze waarop met data wordt omgegaan binnen de onderneming en wat er moet gebeuren als het fout loopt. Goede procesbeschrijvingen zijn sowieso - los van de GDPR - key voor een mature onderneming.

De verplichting om bijvoorbeeld een dataregister aan te leggen, kan hierbij helpen. Dat is een overzicht van welke persoonlijke data je waar gebruikt en wie ze verwerkt. Neem hierin minstens volgende gegevens op: de contactgegevens van de verwerker, de verwerkte data, de categorie van de verwerkte data, eventuele flows of overdrachten van data, de dataretentieperiodes (periode dat je de data bijhoudt) en de genomen databeschermingsmaatregelen.

Eat, sleep, comply, REPEAT!

Wat begint als een plan en uitmondt in een project eindigt bij voorkeur in een echt proces. Behandel privacy als een onderdeel binnen je organisatie. Maak bij elk proces of nieuw project de overweging of er persoonlijke data mee gemoeid is die conform de GDPR moet worden behandeld.

Bezig zijn met data in je bedrijf, weten over welke data je beschikt en hoe je die kan gebruiken in je relatie met klanten, leveranciers of andere stakeholders, zal een belangrijke meerwaarde creëren voor jouw onderneming. Het kan leiden tot optimalisatie van processen, kostenbesparingen, verhoogde reputatie of zelfs extra businessontwikkeling. Met de juiste mindset kan GDPR een echte boost geven in je bedrijf.

Ingrid De Poorter
Managing partner bij De Groote - De Man

Lees meer

Iedereen bij Wijs deelt zijn expertise, ook Jasper en Evi. Benieuwd naar de laatste nieuwtjes en blogposts? Schrijf je in voor onze nieuwsbrief!