2Ghent

Foreestelaan 1
9000 Ghent

Brussels

Antwerpselaan 40
1000 Brussels

27 april 2021 - Strategy

GDPR compliant in 10 stappen

Je hebt ongetwijfeld al gehoord van de General Data Protection Regulation (GDPR) - of in het Nederlands, de Algemene Verordening Gegevensbescherming (AVG)? Het is een Europese verordening die de online privacy in goede banen moet leiden. Sowieso heeft de GDPR ook een impact op jouw organisatie. Daarom is het handig als je meteen helemaal mee bent. Aan de hand van 10 stappen doen we GDPR helder uit de doeken.

De General Data Protection Regulation is van toepassing op alle bedrijven die persoonsgegevens van EU-burgers verwerken. Concreet betekent dat bijna elk bedrijf, ook de kleinere - waar ook ter wereld. De Europese Unie ziet ‘persoonsgegevens’ immers erg breed. Ook IP-adressen, cookies en Twitter-handles worden bijvoorbeeld gezien als persoonsgegevens.

In de AVG staan veel principes uit de voormalige Belgische Privacywet (die werd opgeheven met de komst van het AVG). Als onderneming is het belangrijk om actie te nemen, want er staan torenhoge boetes op het niet naleven van de GDPR. Reden genoeg dus om onderstaand stappenplan te volgen. En wij helpen je maar al te graag op weg om GDPR compliant te worden!


Contacteer ons


1. Creëer awareness bij je medewerkers

Niet enkel jij, maar ook de medewerkers binnen je bedrijf of organisatie moeten zich bewust zijn van de GDPR en de regelgeving hieromtrent. Het is essentieel om de impact van de AVG te beoordelen, én de noodzakelijke wijzigingen binnen je bedrijf of organisatie in kaart te brengen. 

Organiseer eventueel een infoavond, workshop en dergelijke voor je medewerkers om ervoor te zorgen dat zij goed geïnformeerd zijn - en blijven.

2. Leg een dataregister aan

Als onderdeel van de documentatieplicht moet elk bedrijf een dataregister aanleggen (zie ook stap 3). Is er ooit een datalek? Dan moet je dat register kunnen voorleggen om te bewijzen dat je wel degelijk de regels hebt gevolgd.

In een dataregister maak je een overzicht van de persoonsgegevens die je verwerkt. Daarnaast bepaal je ook waar die gegevens vandaan komen, en met wie je ze gaat delen. Zo’n dataregister moet op elk moment een accuraat overzicht bieden.

gdpr_2

3. Onderzoek

Persoonlijke data verwerken mag enkel als het noodzakelijk is om je diensten uit te voeren, als er een wettelijke verplichting bestaat of als je hiervoor de toestemming krijgt. We spreken dan over doelbinding of dataminimalisatie.

Onderzoek heel kritisch waarom je data verzamelt en of je die écht wel nodig hebt. Persoonlijke data mag je ook niet onbeperkt bewaren. Je moet bijvoorbeeld kunnen hardmaken waarom je x-aantal jaar de gegevens van prospects of cv’s van sollicitanten zou willen bijhouden. 

Alles netjes in kaart brengen is echter niet voldoende; je moet het ook kenbaar maken in een privacybeleid. Zorg ervoor dat je overeenkomsten, algemene voorwaarden, bestelbons en privacyverklaringen conform zijn aan de wetgeving.

gdpr_4

4. Controleer de toestemming

Hoe je precies de toestemming vraagt om iemands persoonsgegevens te verwerken? Volgens de AVG moet dat vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Verplicht je locatiegegevens moeten doorgeven als je de zaklamp op je smartphone wilt gebruiken, is bijvoorbeeld géén vrije toestemming. Je smartphone hoeft immers niet te weten waar je bent om je pad te verlichten.

De toestemming moet ook blijken uit een actief handelen. Er kan bijvoorbeeld geen sprake zijn van een geldige toestemming als die afgeleid wordt uit een vooraf aangevinkt keuzevakje.

Naast het vragen en verkrijgen van de toestemming is ook de registratie ervan belangrijk. De toestemming moet immers controleerbaar zijn. Je moet dus achteraf kunnen bewijzen dat je, voor elk persoonlijk gegeven dat je verwerkt, op een correcte manier de toestemming kreeg om het te verzamelen.

Wil je de persoonsgegevens van minderjarigen verwerken? Dan heb je een specifieke toestemming nodig van een ouder of voogd.

5. Communiceer over privacy

Privacy en de GDPR blijven gevoelige thema’s. Communiceer dus altijd heel duidelijk en open over je privacybeleid.

Zet ook je communicatie over gegevensverwerking op punt en pas aan waar nodig. Want de AVG verlangt dat al je informatie in een beknopte, begrijpbare en duidelijke taal staat.

Naast de identiteit van de verwerker van de gegevens en de wijze waarop je de gegevens aanwendt, moet je ook volgende zaken meedelen:

  • Waarom mag je deze gegevens verwerken? (zie stap 3)
  • Hoe lang ga je ze bijhouden?
  • Ga je ze eventueel uitwisselen buiten de Europese Unie?
  • Hoe kan iemand klacht indienen bij de Privacycommissie?

Tip: Ga ook na hoe lang je welke informatie mag bewaren. De termijn hangt af van land tot land.

6. Reflectie bij elk nieuw proces of product

'Privacy By Design' is de te hanteren norm in het kader van de AVG. Dat betekent dat je voor de ontwikkeling van (nieuwe) producten en diensten, zoals websites, rekening moet houden met privacyverhogende maatregelen (de zogenaamde Privacy Enhancing Technologies of PET). Dat kan bijvoorbeeld door persoonsgegevens te pseudonimiseren of toegangsrechten tot de persoonlijke data te limiteren. Van zodra je data anonimiseert, is het niet langer persoonlijke data, en is de privacy dus niet van toepassing. Heel handig als je big data wilt verwerken!

Tip: Nieuwe risicovolle processen implementeren? Voer dan beslist een Data Protection Impact Assessment of DPIA uit.

7. Voorzie een procedure

Al goed vertrouwd met de rechten die iemand heeft over zijn persoonsgegevens? Best een werkje om dit proces in goede banen te leiden of te voorzien in je IT-systemen. Hou onder meer rekening met:

  • Recht op informatie en toegang tot persoonsgegevens
  • Recht op verbetering én verwijdering van gegevens (= het recht om vergeten te worden)
  • Recht op bezwaar tegen direct marketingpraktijken, geautomatiseerde besluitvorming en profilering
  • Recht op overdraagbaarheid van de gegevens: iedereen moet zijn persoonsgegevens in een gangbare elektronische vorm kunnen opvragen
gdpr_7

8. Maak een data disaster plan

Volgens de AVG moet je vooraf oplossingen bepalen, voor mocht het ooit fout lopen met je data. Bouw dus adequate procedures uit die snel datalekken opsporen, onderzoeken en melden (bv. aan de Privacycommissie). Grotere bedrijven en organisatiestructuren voorzien best een aangepast beleid om datalekken te beheren. In sommige gevallen zal de betrokkene zelf (wiens data gelekt is) ook ingelicht moet worden.

Voldoe je niet aan deze meldplicht? Dan volgt mogelijks een extra boete bovenop de boete voor het datalek.

gdpr_9

9. Stel een Data Protection Officer (DPO) aan

Ga na of je al dan niet een DPO moet benoemen. Overheden of andere instanties die op grote schaal stelselmatig privacygegevens observeren, moeten alvast een DPO aanstellen. Dat kan bijvoorbeeld ook een externe adviseur zijn.

10. Controleer je datastromen

Verwerk je data buiten de Europese Unie (bijvoorbeeld gegevens die op een server staan in de VS)? Dan moet je nagaan of dat land over eenzelfde soort privacywetgeving beschikt als in de EU. Slechts een beperkt aantal landen voldoet hieraan. Controleer dus je datastromen, en zorg ervoor dat alles contractueel snor zit met elke betrokken partij. Sowieso is het raadzaam om hulp te zoeken bij een specialist!

Nog vragen, opmerkingen of suggesties omtrent de GDPR? Aarzel dan zeker niet om ons te contacteren!


Contacteer ons

PS: Vind je het moeilijk om bij te benen op het gebied van online marketing? Goed nieuws! Vanaf nu kan je maandelijks een online marketing update ontvangen in je mailbox. Schrijf je in op onze Online Marketing Nieuwsbrief!

Justine Trio

Justine Trio

Marketing Copywriter

Share this insight on

It's time to stop scrolling and start making.

Let's get in touch

Call us +32 9 335 22 80

Back to top