In orde met de GDPR in 10 stappen

25 mei 2017 Inzichten / In orde met de GDPR in 10 stappen

Exact over 1 jaar, op 25 mei 2018, treedt de General Data Protection Regulation – kortweg GDPR – in werking. Dat is een nieuwe Europese richtlijn die de privacy in goede banen moet leiden. De GDPR heeft ook impact op jouw bedrijf. Wijs vroeg aan Prof. Dr. Ingrid De Poorter om de nieuwe richtlijn in 10 stappen uit de doeken te doen.

Dit is een guest blog post van Ingrid De Poorter van advocatenkantoor De Groote - De Man.

De GDPR is van toepassing op alle bedrijven die persoonsgegevens van EU-burgers verwerken. Concreet is dat dus bijna elk bedrijf, ook de kleinere. De EU ziet ‘persoonsgegevens’ immers erg breed. Ook IP-adressen, cookies en Twitter-handles worden bijvoorbeeld gezien als persoonsgegevens. 

In de GDPR staan veel principes uit de Belgische Privacywet, maar er zijn ook een aantal belangrijke nieuwigheden. Nieuwigheden die ook van jou als ondernemer actie zullen vragen. Vanaf 25 mei 2018 staan er bovendien torenhoge boetes op het niet naleven van de GDPR. Reden genoeg om nu al te zorgen voor een stappenplan.

Wij helpen je om nu al die eerste stappen te zetten om GDPR compliant te worden.

GDPR - De nieuwe privacy wetgeving uitgelegd in 90 seconden

1. Creëer awareness bij je medewerkers

Niet enkel jij, maar ook de medewerkers binnen je bedrijf of organisatie moeten zich bewust zijn van de aankomende nieuwe regelgeving. Dat is essentieel om de gevolgen van de GDPR in te schatten en de noodzakelijke wijzigingen binnen je bedrijf of organisatie in kaart te brengen. 

Organiseer eventueel een workshop voor je medewerkers zodat ook zij op de hoogte zijn van de nieuwe regelgeving.

2. Leg een dataregister aan

Als onderdeel van de documentatieplicht moet elk bedrijf een dataregister hebben. Als er ooit een datalek is, zal je dat register moeten voorleggen om te bewijzen dat je wel degelijk de regels gevolgd hebt.

In aanloop naar de GDPR, - op het moment dat je aan het uitpluizen bent welke data binnen het bedrijf wordt verwerkt en waarom - kan je dat het best oplijsten in een dataregister. Die informatie zal je goed kunnen gebruiken in stap 3. In een dataregister maak je een overzicht van de persoonsgegevens die je verwerkt en bepaal je ook waar ze vandaan komen en met wie ze gedeeld worden. Dat register moet te allen tijde een accuraat overzicht geven.

3. Onderzoek

Persoonlijke data verwerken mag enkel als het noodzakelijk is voor de uitvoering van de diensten, als er een wettelijke verplichting bestaat of als je hiervoor de toestemming hebt gekregen. Dat noemt men doelbinding of dataminimalisatie.

Je zal zelf kritisch moeten onderzoeken waarom je data hebt en of je die wel echt nodig hebt. Persoonlijke data mag je ook niet onbeperkt bewaren. Gegevens van prospects of cv’s van sollicitanten zullen bijvoorbeeld geen jaren in je bezit mogen blijven. Maar, in kaart brengen is niet genoeg. Je moet het ook kenbaar maken, bijvoorbeeld in een privacyverklaring.

Zorg er daarom voor dat je overeenkomsten, algemene voorwaarden, bestelbons en privacyverklaringen conform zijn aan de nieuwe wetgeving.

4. Controleer de toestemming

De wijze waarop je toestemming vraagt om iemands persoonsgegevens te verwerken, moet volgens de GDPR vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.

Voorbeeld: Het verplicht moeten doorgeven van je locatiegegevens als je je zaklamp van je smartphone wil gebruiken, is geen vrije toestemming. Er is geen reden waarom je smartphone moet weten waar je bent om je zaklamp te kunnen gebruiken.

De toestemming moet ook blijken uit een actief handelen. Er kan bijvoorbeeld geen sprake zijn van een geldige toestemming als die afgeleid wordt uit een vooraf aangevinkt keuzevakje.

Naast het vragen en verkrijgen van de toestemming is de registratie ervan ook van belang. De toestemming moet immers controleerbaar zijn. Je moet dus achteraf kunnen bewijzen dat je, voor elk persoonlijk gegeven dat je verwerkt, op een correcte manier toestemming kreeg om het te verzamelen.

Voor de verwerking van persoonsgegevens van minderjarigen heb je een specifieke toestemming van de ouder of voogd nodig.

5. Communiceer over privacy

We zijn allemaal gevoelig aan privacy-issues en GDPR zal dat nog meer in de kijker zetten. Communiceer daarom duidelijk over je privacybeleid.

Maak ook dat je communicatie over gegevensverwerking op punt staat. De GDPR verlangt immers dat alle informatie die je geeft in een beknopte, begrijpbare en duidelijke taal moet gebeuren.

Dit is het moment om je bestaande privacyverklaring voor het licht van de GDPR te houden en te herschrijven waar nodig.

Naast de identiteit van de verwerker van de gegevens en de wijze waarop je de gegevens aanwendt, zal je in de toekomst ook het volgende moeten meedelen:

  • Waarom mag je deze gegevens verwerken? (zie stap 3)
  • Hoe lang ga je ze bijhouden?
  • Worden ze uitgewisseld buiten de Europese Unie?
  • Hoe kan iemand klacht indienen bij de Privacycommissie?

Tip: ga ook na hoe lang je welke informatie mag bewaren. Dat wisselt van land tot land.

6. Denk na bij elk nieuw proces of product

‘Privacy By Design’ is de norm die gehanteerd moet worden in het kader van de GDPR. Dat betekent dat voor de ontwikkeling van (nieuwe) producten en diensten zoals websites, aandacht moet besteed worden aan privacyverhogende maatregelen (de zogenaamde privacy enhancing technologies (PET)). Dat kan bijvoorbeeld door het pseudonimiseren van persoonsgegevens of door de toegangsrechten tot de persoonlijke data te limiteren. Van zodra je data anonimiseert, is het niet langer persoonlijke data en is dus de privacy niet van toepassing. Dat is handig als je Big Data wil verwerken.

Voor de implementatie van nieuwe risicovolle processen zal een ‘Privacy Impact Assessment’ moeten worden uitgevoerd.

7. Voorzie een procedure

De rechten die iemand heeft over zijn persoonsgegevens, blijven grotendeels gelijk. Maar als je nog geen proces had om dit in goede banen te leiden of het is nog niet voorzien in je IT-systemen, dan kan het even werk zijn. Het gaat bijvoorbeeld om:

  • Recht op informatie en toegang tot persoonsgegevens;
  • Recht op verbetering én verwijdering van gegevens (recht om vergeten te worden);
  • Recht op bezwaar tegen direct marketingpraktijken, geautomatiseerde besluitvorming en profilering;
  • Nieuw! Recht op overdraagbaarheid van de gegevens. Iedereen moet zijn persoonsgegevens in een gangbare elektronische vorm kunnen opvragen.

Denk goed na over de procedures (ook op IT-vlak) die je bedrijf zal volgen om aan dit soort vragen van particulieren – die er zeker gaan er komen – tegemoet te kunnen komen.

8. Maak een data disaster plan

Volgens de GDPR moet je op voorhand bepalen hoe je het zal oplossen als het ooit fout loopt met je data. Bouw dus adequate procedures uit die het mogelijk maken datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden waar nodig (bv. aan de Privacycommissie). Grotere bedrijven en organisatiestructuren voorzien bij voorkeur ook een aangepast beleid om datalekken te beheren.

In sommige gevallen zal de betrokkene zelf (wiens data gelekt is) ook ingelicht moet worden.

Het niet voldoen aan deze meldplicht kan bestraft worden met een boete bovenop de boete voor het datalek zelf.

9. Stel een data protection officer (dpo) aan

Ga na of je een ‘Data Protection Officer’ moet aanstellen of niet.

Overheden of verwerkers die regelmatig en stelselmatig privacygegevens op grote schaal observeren, moeten een DPO aanstellen. Dat kan een extern adviseur zijn.

10. Controleer je datastromen naar niet-EU-landen

Als je data verwerkt of doorgeeft buiten de EU (bv. gegevens die op een server in de US staan), zal je moeten nagaan of dat land over eenzelfde soort van privacywetgeving beschikt als in de EU het geval is. Slechts een beperkt aantal landen voldoet hieraan. Vaak moeten een aantal garanties met de internationale partijen onder meer contractueel worden afgedwongen.

Controleer je datastromen dus en zorg dat contractueel alles snor zit met deze partijen.

In het algemeen valt aan te raden dat je hiervoor als bedrijf of organisatie bijstand zoekt bij een specialist ter zake.

Nog vragen rond de GDPR? Maak een afspraak voor een audit op maat van jouw bedrijf.

Ingrid De Poorter
Managing partner bij De Groote - De Man

Lees meer

Iedereen bij Wijs deelt zijn expertise, ook Jasper en Evi. Benieuwd naar de laatste nieuwtjes en blogposts? Schrijf je in voor onze nieuwsbrief!