Teamleader Blog Article

GDPR-checklist: 10 stappen die je bedrijf moet nemen

GDPR-checklist: 10 stappen die je bedrijf moet nemen

25 mei 2018: het nieuwe wettelijke kader van de AVG of de Algemene verordening Gegevensbescherming (beter bekend in het Engels als de GDPR of General Data Protection Regulation) gaat binnen enkele maanden van kracht. Wat verandert er voor jou als mkb, en hoe zorg je ervoor dat je aan de nieuwe vereisten voldoet?

Deze handige checklist helpt je op weg.

Disclaimer: het is belangrijk om te benadrukken dat Teamleader niet kan garanderen dat je bedrijf 100% voldoet aan de privacy-vereisten door onderstaande lijst met acties te implementeren. Teamleader biedt enkel tips en advies over de GDPR. Toegevoegd is de inhoud van deze blogpost enkel geschikt ter informatie en mag het niet als juridisch advies worden aanzien of om te bepalen hoe de GDPR van toepassing is op jou of jouw organisatie.

Hoe mkb’s zich op de GDPR moeten voorbereiden

1. Krijg inzicht in je data
GDPR checklist - inzicht in je data

Om te voldoen aan het nieuwe wettelijk kader, moet je eerst begrijpen welke soort persoonlijke data (vb. namen, adressen) en gevoelige data (vb. medische informatie) je op dit moment bezit:

  • Waar komt data vandaan?
  • Hoe heb je die verzameld?
  • Hoe ben je van plan die data te gebruiken?

Organiseer interne audits om in kaart te brengen hoe data je bedrijf binnenstroomt, wat er op dit moment al is en wat nog moet worden aangepast aan de nieuwe reglementering. Vergeet zeker niet een analyse te doen van je juridische documenten om ze conform de nieuwe wetgeving aan te passen.

In het geval dat je onjuiste of gedateerde persoonlijke data met een ander bedrijf hebt gedeeld, moet je de andere organisatie van deze onjuistheid op de hoogte brengen zodat zij hun gegevens kunnen aanpassen. Dit is een van de belangrijkste redenen om in kaart te brengen welke persoonlijke data je bezit.

Meer leren over de GDPR en hoe jouw mkb erop voor te bereiden? Download ons gratis e-book


2. Vraag om uitdrukkelijke toestemming om data te verzamelen

Onder de nieuwe GDPR, moet toestemming om data te verzamelen vrij, specifiek, geïnformeerd en ondubbelzinnig worden gegeven. Een respondent die niet reageert, vooraf aangevinkte vakjes in e-mails en inactiviteit gelden niet als rechtmatige toestemming. Dit betekent ook dat je moet checken hoe je op dit moment toestemming vraagt om data te verzamelen. In andere woorden: kijk je bestaande methodes na om te verzekeren dat je aan de GDPR-normen voldoet.

De GDPR geeft individuen specifieke rechten om hun toestemming in te trekken. Je moet mensen van dit recht op de hoogte brengen en hen gemakkelijke manieren aanbieden om hun toestemming op elk moment te herroepen.

Toestemming is een belangrijke factor voor de e-mails die je uitstuurt. Voor commerciële e-mails (vb. e-mails met promoties of kortingen) voor niet-klanten, moet je duidelijke opt-in buttons toevoegen zodat mensen hun inschrijving kunnen bevestigen. Wanneer je geen uitdrukkelijke toestemming hebt ontvangen, is het niet toegestaan om hen commerciële e-mails te verzenden. Voor niet-commerciële e-mails (vb. een kerstkaart) of e-mails naar klanten heb je enkel een opt-out nodig (de optie om uit te schrijven op e-mails).

3. Communiceer hoe en waarom je data verzamelt

Met je klanten moet je over het volgende communiceren:

  • hoe je data verzamelt
  • waarom je hun data verwerkt
  • hoe lang je van plan bent om die data bij te houden (je mag data niet langer bewaren dan strikt noodzakelijk)

Deze informatie moet je documenteren in je privacyverklaring. Dit document moet op zijn minst verwijzen naar de GDPR en informatie bevatten over:

  • welke persoonlijke data wordt verzameld
  • hoe het wordt verzameld
  • het doel van de verwerking
  • de bewaarperiode van gegevens
  • de rechten van het datasubject (de persoon wiens data je verwerkt)
  • je klachtenprocedure
  • je proces om gegevens naar derden over te dragen

4. Train je werknemers

GDPR checklist - train je werknemers

Organiseer interne informatiesessies zodat je collega’s de impact van de GDPR op je bedrijf kunnen begrijpen. Bewustwording stimuleren moet een continu proces zijn dat je doorheen het jaar regelmatig herhaalt. Bovendien documenteer je dit best ook voor nieuwe werknemers.

Vergeet niet om documenten en procedures voor intern gebruik bij te werken, zoals:

  • Je laptop-, social media- en internetbeleid
  • Arbeidscontract
  • Werkreglement

5. Toon bewijs dat je voldoet aan de GDPR

Het GDPR-kader vereist dat je aantoont dat je voldoet aan de wetgeving:

  • identificeer de wettelijke basis voor het verwerken van gegevens
  • documenteer je procedures
  • update je privacyverklaring

Je moet ook je Algemene Voorwaarden en/of de overeenkomst die je met je klanten hebt afgesloten aanpassen. Tot slot moet je ook een verwerkers- of bewerkersovereenkomst (ook wel data processing agreement of DPA genoemd) afsluiten met gegevensverwerkers en, indien nodig, met sub-verwerkers.

Opmerking: een dataprocessor is elke persoon (met uitzondering van een medewerker van de dataprocessor) die gegevens verwerkt in naam van de data controller. Voorbeelden hiervan zijn payrollbedrijven, boekhoudkantoren en marktonderzoeksbureaus. Cloud-leveranciers zijn over het algemeen ook dataprocessors.

6. Zorg voor een efficiënt systeem om persoonlijke gegevens te verwijderen

Vanaf 25 mei heb je een systeem nodig om persoonlijke gegevens te verwijderen zodra de wettelijke bewaarperiode is verstreken of wanneer een datasubject of betrokkene je dat expliciet vraagt. Mensen hebben het recht om hun toestemming op elk moment in te trekken: het recht om te wissen of ‘the right to erasure’ (ook gekend als ‘het recht om vergeten te worden’ of ‘the right to be forgotten’) is een belangrijk principe van de GDPR.

In deze gevallen ben je verplicht om gegevens te verwijderen:

  • Als het niet langer nodig is om de persoonlijke data te bewaren in verband met het doel waarvoor ze oorspronkelijk verzameld zijn
  • Als het datasubject zijn toestemming om data te verwerken intrekt (en er geen rechtvaardiging of gewettigd belang is voor verdere verwerking)
  • Als persoonlijke data onrechtmatig verwerkt zijn

7. Maak een crisismanagementplan

Elk bedrijf moet een plan hebben in geval van een data-inbreuk. Zodra er zich een inbreuk op gegevens voordoet, heb je 72 uur de tijd om dit te melden bij de bevoegde instanties: voor Nederland is dit de Privacycommissie. Wanneer zo'n lek een hoog risico inhoudt voor de rechten en vrijheden van EU-burgers, moet je ook de betrokken personen informeren. Dit tijdsbestek om een inbreuk te rapporteren kan in bepaalde landen nog strikter zijn. Dit betekent dat je bij een datalek geen tijd zal hebben om na te denken over je volgende stap. Daarom is vooruitdenken de sleutel om boetes te voorkomen.

Bereid je voor op de GDPR door procedures op te zetten op data-inbreuken op te sporen, te rapporteren en te onderzoeken. Zorg ervoor dat de mensen met wie je samenwerkt goed begrijpen wat inbreuken in de persoonlijke gegevens zijn, en stel processen op om rode vlaggen meteen op te sporen.

8. Beheer toegangsprocedures

GDPR checklist - beheer je toegangsprocedures

Hou toegang tot persoonlijke gegevens en je servers zo beperkt mogelijk. Datasubjecten hebben ook het recht om toegang te krijgen tot hun persoonlijke gegevens, onnauwkeurigheden te verbeteren, in bepaalde gevallen bezwaar te hebben tegen verwerking of gegevens te wissen - allemaal binnen een termijn van 30 dagen in plaats van 45 dagen.

Als heel wat mensen toegang tot hun gegevens vragen, zorg dan voor een efficiënte manier om die verzoeken snel te behandelen en zo je werklast te beperken. Je kan bijvoorbeeld mensen online hun gegevens laten raadplegen. Bovendien is dit ook wat de officiële GDPR-instanties aanbevelen.

9. Bescherm de gegevens van minderjarigen

25 mei 2018 betekent ook speciale bescherming voor de persoonlijke data van kinderen. De GDPR stelt dat kinderen jonger dan 16 jaar geen wettige toestemming mogen geven omdat ze "mogelijks minder bewust zijn van de risico's, gevolgen en waarborgen" van het delen van gegevens. Als je bedrijf online diensten aanbiedt aan kinderen, heb je toestemming van een ouder of voogd nodig om hun persoonsgegevens rechtmatig te verwerken.

Opmerking: EU-landen mogen de leeftijdsgrens nog verlagen tot 13 jaar: in België en Frankrijk bijvoorbeeld, zullen kinderen vanaf 13 jaar toestemming mogen geven om hun gegevens te verwerken.

10. Check of je een data protection officer nodig hebt

Mogelijk moet je een functionaris voor gegevensbescherming (of data protection officer - DPO) toewijzen om toezicht te houden op je strategie en actieplan om aan de wetgeving te voldoen. Hoewel dit voor het merendeel van de mkb’s niet verplicht is, beveelt de Artikel-29-werkgroep aan om een DPO aan te stellen.

Je hoeft niet per se een fulltime medewerker in dienst te nemen - een DPO kan ook een externe consultant zijn of een medewerker die naast de dagelijkse verantwoordelijkheden een extra rol op zich neemt. Zorg er wel voor dat die persoon de juiste kennis, ondersteuning en bevoegdheid heeft om de rol van DPO uit te voeren.

E-book: GDPR - bereid je bedrijf voor