Tien tips om aan de slag te gaan met de GDPR

Tien tips om aan de slag te gaan met de GDPR

Zorg ervoor dat u voorbereid bent op de komst van de Algemene Verordening Gegevensbescherming (GDPR – General Data Protection Regulation) van de EU. De volgende 10 tips zullen u helpen van start te gaan.

De Europese Algemene Verordening Gegevensbescherming is voor heel veel Europese bedrijven van toepassing. Bent u al klaar voor de veranderingen?

In mei 2016 vaardigde de EU een Algemene Verordening Gegevensbescherming uit. De nieuwe verordening, die van kracht wordt in mei 2018, na een overgangsperiode van twee jaar, brengt heel wat nieuwe operationele vereisten mee voor bedrijven die persoonlijke gegevens verwerken.

Aangezien de definitie van 'persoonlijke gegevens' heel breed is, zullen bijna alle bedrijven onder de regelgeving vallen. Aangezien er nu nog maar 73 dagen resten voor de gegevensbeschermingsregels van kracht worden, hebben we 10 tips verzameld die u zullen helpen alvast van start te gaan.

 

1. Aantonen dat u de verordening naleeft

De nieuwe verordening vereist dat al wie persoonlijke informatie registreert, in staat is te bewijzen dat ze de persoonsgegevens op de vereiste manier verwerken.

In de praktijk betekent dit dat u een register moet bijhouden over de gegevensverwerkende activiteiten die onder uw verantwoordelijkheid vallen, om te kunnen bewijzen dat ze in overeenstemming zijn met de regels.

2. Ervoor zorgen dat u de toestemming hebt

Indien de verwerking van persoonlijke gegevens gebaseerd is op de toestemming van een persoon, moet u kunnen aantonen dat u die toestemming hebt gekregen.

Bovendien zullen de vereisten voor toestemming in de toekomst strikter worden:

De toestemming moet duidelijk gegeven worden in een schriftelijke, elektronische of gesproken verklaring. De toestemming moet aantonen dat de persoon vrijwillig, persoonlijk, bewust en expliciet te kennen heeft gegeven dat hij het gebruik van zijn persoonlijke gegevens aanvaardt. Een typisch voorbeeld hiervan is het aanklikken van een vakje om de toestemming te geven.

3. Het recht om vergeten te worden naleven

Een nieuw onderwerp dat geïntroduceerd wordt met de verordening, is het recht van de geregistreerde persoon om vergeten te worden. In de praktijk betekent dat, dat iemand het recht heeft zijn gegevens te laten verwijderen uit uw gegevensbestanden.

Dit soort situatie kan voorvallen wanneer de persoon zijn eerdere toestemming om zijn persoonsgegevens te gebruiken, intrekt. Als het gebruik van de persoonlijke gegevens echter een juridische basis heeft, is er geen verplichting die gegevens te verwijderen.

Indien u wel wettelijk verplicht bent de gegevens te verwijderen, dient u alle entiteiten die deze gegevens hebben ontvangen of gepubliceerd, daarvan op de hoogte te brengen. Dit dient om ervoor te zorgen dat alle ook links, duplicaten en kopieën van het gegevensmateriaal verwijderd worden.

4. Het recht op de overdraagbaarheid van gegevens naleven

Vanaf nu heeft iedereen het recht om zijn eigen gegevens te ontvangen in een digitaal formaat en om ze over te dragen aan een andere verwerkingsverantwoordelijke.

Dit recht geldt ook voor persoonsgegevens die een persoon u heeft bezorgd via toestemming of door middel van een overeenkomst. U bent echter niet verplicht gegevensverwerkingssystemen goed te keuren of aan te houden die technisch compatibel zijn.

5. Het verbod op profiling kan ook op u een impact hebben

Iedereen heeft het recht om niet onderworpen te worden aan een beslissing op basis van automatische gegevensverwerking, die een gerechtelijk of anderszins significant effect op hem kan hebben. Dit betekent met andere woorden dat u geen belangrijke beslissingen kunt nemen die een impact hebben op een persoon, op basis van een geautomatiseerd gegevensproces.

Een mogelijke uitzondering op dit 'profilingverbod' bestaat wanneer een dergelijke beslissing nodig is om een contract tussen een bepaalde persoon en uw bedrijf te vervullen. U dient te waarborgen dat uw profiling- en besluitvormingsmodellen in overeenstemming zijn met de wet en dat u er de nodige veranderingen aan hebt aangebracht.

Een veelvoorkomend voorbeeld van een uitzondering op het profilingverbod is het maken van kredietbeslissingen. Dergelijke beslissingen zijn vaak gebaseerd op geautomatiseerde classificatiesystemen en beslissingsaanbevelingen.

6. Informeren over inbreuken in uw gegevensbeveiliging

In de toekomst zult u verplicht zijn de autoriteiten en de geregistreerde personen op de hoogte te brengen van inbreuken in uw gegevensbeveiliging. Dit omvat alle situaties waarbij de rechten en vrijheden van een individu geschonden worden. Indien een dergelijke situatie voorvalt, zijn er een aantal zaken die u moet doen:

U moet de autoriteiten binnen de 72 uur na de inbreuk op de hoogte brengen. U moet alle personen die bij de inbreuk betrokken zijn, op de hoogte brengen zodra er een reële kans bestaat dat de gegevensinbreuk hun rechten en vrijheden in het gedrang brengen.

Om aan deze verplichtingen te voldoen, is het belangrijk dat u interne instructies en procedures opstelt om een efficiënt en correct proces te waarborgen.

7. Informeren over uw gegevensverwerkingsprocessen.

Bedrijven over de hele wereld zamelen tegenwoordig meer persoonlijke gegevens in dan ooit tevoren. Om in de toekomst te voldoen aan de EU-verordening, moet u meer informatie kunnen voorleggen over de gegevensverwerking dan voordien vereist was.

Dit betekent voor u dat u de bewaartermijn voor persoonlijke gegevens moet vastleggen. Of, als dat niet mogelijk is, dient u informatie te verschaffen over de criteria die gebruikt worden om de bewaartermijn te bepalen.

In de praktijk betekent dit bijvoorbeeld dat u het register en de gegevensbeveiligingsdocumenten moet updaten, en dat u erover moet nadenken hoe u de geregistreerde mensen in de praktijk op de hoogte zult brengen.

8. De rol van de nieuwe data protection officer

Met de verhoogde nadruk op gegevensbescherming zult u mogelijk een data protection officer moeten aanstellen om persoonsgegevens te verwerken. Organisaties die bijvoorbeeld een data protection officer nodig hebben, zijn bedrijven met een uitgebreid, regelmatig en systematisch toezicht op mensen, of bedrijven waarbij dergelijk toezicht tot de kernactiviteiten behoort. Met dit in gedachten raden wij u aan te evalueren of de vereiste voor een data protection officer van toepassing is op u of niet.

9. Indien u de verwerking van persoonsgegevens uitbesteedt, dient u beschermingsmaatregelen in te voeren

Indien u een deel van het gegevensproces hebt uitbesteed aan een andere entiteit die de persoonsgegevens in uw naam verwerkt, zult u een aantal zaken moeten regelen:

U moet gepaste technische en organisatorische beschermingsmaatregelen invoeren die voldoen aan de vereisten van de verordening. U moet garanderen dat de rechten van de geregistreerde personen beschermd zijn.

In de praktijk betekent dit dat u zult moeten achterhalen in welke situaties uitbesteding gepast is, en zult u ervoor moeten zorgen dat alle contracten correct opgesteld worden. Zo wordt de opslag van gegevens in clouddiensten bijvoorbeeld beschouwd als uitbesteding, ook al verwerkt de serviceprovider de gegevens niet actief.

10. Inbreuken kunnen leiden tot een zware boete

Besef ook dat u, behalve een waarschuwing, een zware boete kunt krijgen voor elke inbreuk op de Algemene Verordening Gegevensbescherming. De boete kan tot maximaal 20 miljoen euro of 4% van de totale omzet van uw bedrijf bedragen.