In orde met de GDPR in 10 stappen

De GDPR is van toepassing op alle bedrijven die persoonsgegevens van EU-burgers verwerken. Concreet is dat dus bijna elk bedrijf, ook de kleinere. De EU ziet ‘persoonsgegevens’ immers erg breed. Ook IP-adressen, cookies en Twitter-handles worden bijvoorbeeld gezien als persoonsgegevens.

GDPR voor jouw bedrijf

In de GDPR staan veel principes uit de Belgische Privacywet, maar er zijn ook een aantal belangrijke nieuwigheden die ook van jou als ondernemer actie zullen vragen. Sinds 25 mei 2018 staan er bovendien torenhoge boetes op het niet naleven van de GDPR. (Lees bijvoorbeeld: Niet-naleving van de GDPR kost Google 50 Miljoen Euro)

Bekijk hier ook het chronologisch overzicht van alle boetes en beslissingen van de Gegevensbeschermingsautoriteit sinds 2020.

Reden genoeg om te zorgen voor een stappenplan.

1. Creëer awareness bij je medewerkers

Niet enkel jij, maar ook de medewerkers binnen je bedrijf of organisatie moeten zich bewust zijn van de regelgeving. Dat is essentieel om de gevolgen van de GDPR in te schatten en de noodzakelijke wijzigingen binnen je bedrijf of organisatie in kaart te brengen.

Organiseer eventueel een workshop voor je medewerkers zodat ook zij op de hoogte zijn van de regels.

Onze experts kunnen je hierbij ook helpen met een in-house workshop op maat van je onderneming. Neem contact op als je hierover meer wil weten.

2. Leg een dataregister aan

Als onderdeel van de documentatieplicht moet elk bedrijf een dataregister hebben. Als er ooit een datalek is, zal je dat register moeten voorleggen om te bewijzen dat je wel degelijk de regels gevolgd hebt.

Op het moment dat je aan het uitpluizen bent welke data binnen het bedrijf wordt verwerkt en waarom – kan je dat het best oplijsten in een dataregister. Die informatie zal je goed kunnen gebruiken in stap 3. Daarin maak je een overzicht van de persoonsgegevens die je verwerkt en bepaal je ook waar ze vandaan komen en met wie ze gedeeld worden. Dat register moet te allen tijde een accuraat overzicht geven.

3. Onderzoek

Persoonlijke data verwerken mag enkel als het noodzakelijk is voor de uitvoering van de diensten, als er een wettelijke verplichting bestaat of als je hiervoor de toestemming hebt gekregen. Dat noemt men doelbinding of dataminimalisatie.

Je zal zelf kritisch moeten onderzoeken waarom je data hebt en of je die wel echt nodig hebt. Persoonlijke data mag je ook niet onbeperkt bewaren. Gegevens van prospects of cv’s van sollicitanten zullen bijvoorbeeld geen jaren in je bezit mogen blijven. Maar, in kaart brengen is niet genoeg. Je moet het ook kenbaar maken, bijvoorbeeld in een privacyverklaring.

Zorg er daarom voor dat je overeenkomsten, algemene voorwaarden, bestelbons en privacyverklaringen conform zijn aan de nieuwe wetgeving.

4. Controleer de toestemming

De wijze waarop je toestemming vraagt om iemands persoonsgegevens te verwerken, moet volgens de GDPR vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.

Voorbeeld: Het verplicht moeten doorgeven van je locatiegegevens als je je zaklamp van je smartphone wil gebruiken, is geen vrije toestemming. Er is geen reden waarom je smartphone moet weten waar je bent om je zaklamp te kunnen gebruiken.

De toestemming moet ook blijken uit een actief handelen. Er kan bijvoorbeeld geen sprake zijn van een geldige toestemming als die afgeleid wordt uit een vooraf aangevinkt keuzevakje.

Naast het vragen en verkrijgen van de toestemming is de registratie ervan ook van belang. De toestemming moet immers controleerbaar zijn. Je moet dus achteraf kunnen bewijzen dat je, voor elk persoonlijk gegeven dat je verwerkt, op een correcte manier toestemming kreeg om het te verzamelen.

Voor de verwerking van persoonsgegevens van minderjarigen heb je een specifieke toestemming van de ouder of voogd nodig.

Meer info hierover lees je ook in: Ja, ik wil! alles over expliciete toestemming

5. Communiceer over privacy

We zijn allemaal gevoelig aan privacy-issues en GDPR zet dat nog meer in de kijker . Communiceer daarom duidelijk over je privacybeleid.

Maak ook dat je communicatie over gegevensverwerking op punt staat. De GDPR verlangt immers dat alle informatie die je geeft in een beknopte, begrijpbare en duidelijke taal moet gebeuren.

Dit is het moment om je bestaande privacyverklaring voor het licht van de GDPR te houden en te herschrijven waar nodig.

Naast de identiteit van de verwerker van de gegevens en de wijze waarop je de gegevens aanwendt, zal je in de toekomst ook het volgende moeten meedelen:

Waarom mag je deze gegevens verwerken? (zie stap 3)
Hoe lang ga je ze bijhouden?
Worden ze uitgewisseld buiten de Europese Unie?
Hoe kan iemand klacht indienen bij de Privacycommissie?

Tip: ga ook na hoe lang je welke informatie mag bewaren. Dat wisselt van land tot land.

Weten hoe je dit best aanpakt? Lees : Maak een bestseller van je privacystatement

6. Denk na bij elk nieuw proces of product

‘Privacy By Design’ is de norm die gehanteerd moet worden in het kader van de GDPR. Dat betekent dat voor de ontwikkeling van (nieuwe) producten en diensten zoals websites, aandacht moet besteed worden aan privacyverhogende maatregelen (de zogenaamde privacy enhancing technologies (PET)). Dit kan bijvoorbeeld door het pseudonimiseren van persoonsgegevens of door de toegangsrechten tot de persoonlijke data te limiteren. Van zodra je data anonimiseert, is het niet langer persoonlijke data en is dus de privacy niet van toepassing. Handig als je Big Data wil verwerken.

Voor de implementatie van nieuwe risicovolle processen zal een ‘Privacy Impact Assessment’ moeten worden uitgevoerd.

Onze experts kunnen je bijstaan in een strategische en adviserende rol bij een privacyproof uitbouw van je onderneming.

7. Voorzie een procedure

De rechten die iemand heeft over zijn persoonsgegevens, blijven grotendeels gelijk. Maar als je nog geen proces had om dit in goede banen te leiden of het is nog niet voorzien in je IT-systemen, dan kan het even werk zijn. Het gaat bijvoorbeeld om:

Recht op informatie en toegang tot persoonsgegevens;
Recht op verbetering én verwijdering van gegevens (recht om vergeten te worden);
Recht op bezwaar tegen direct marketingpraktijken, geautomatiseerde besluitvorming en profilering;
Nieuw! Recht op overdraagbaarheid van de gegevens. Iedereen moet zijn persoonsgegevens in een gangbare elektronische vorm kunnen opvragen.

Denk goed na over de procedures (ook op IT-vlak) die je bedrijf zal volgen om aan dit soort vragen van particulieren – die er zeker gaan er komen – tegemoet te kunnen komen.

8. Maak een data disaster plan

Volgens de GDPR moet je op voorhand bepalen hoe je het zal oplossen als het ooit fout loopt met je data. Bouw dus adequate procedures uit die het mogelijk maken datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden waar nodig (bv. aan de Privacycommissie). Grotere bedrijven en organisatiestructuren voorzien bij voorkeur ook een aangepast beleid om datalekken te beheren.

In sommige gevallen zal de betrokkene zelf (wiens data gelekt is) ook ingelicht moet worden.

Het niet voldoen aan deze meldplicht kan bestraft worden met een boete bovenop de boete voor het datalek zelf.

9. Stel een data protection officer (dpo) aan

Ga na of je een ‘Data Protection Officer’ moet aanstellen of niet.

Overheden of verwerkers die regelmatig en stelselmatig privacygegevens op grote schaal observeren, moeten een DPO aanstellen. Dat kan een extern adviseur zijn.

Ook wij kunnen je hierbij helpen. Met een uitgebreide training leiden wij je DPO op. wij kunnen ook ondersteuning en bijstand bieden of de rol van DPO voor jouw onderneming op ons nemen.
Bekijk hier onze dienst: DPO officer

10. Controleer je datastromen naar niet-EU-landen

Als je data verwerkt of doorgeeft buiten de EU (bv. gegevens die op een server in de US staan), zal je moeten nagaan of dat land over eenzelfde soort van privacywetgeving beschikt als in de EU het geval is. Slechts een beperkt aantal landen voldoet hieraan. Vaak moeten een aantal garanties met de internationale partijen onder meer contractueel worden afgedwongen.

Controleer je datastromen dus en zorg dat contractueel alles snor zit met deze partijen.

Data delen met het Verenigd Koningrijk na de Brexit?

Dankzij een handelsakkoord is data overdracht met het VK minstens nog tot 30 april 2021 mogelijk op dezelfde manier als voor de Brexit.

Het is nog niet duidelijk of het VK daarna zal gelden als “een derde land” voor de GDPR, met extra maatregelen voor de uitwisseling van persoonsgegevens. De Europese Commissie overweegt momenteel om een “adequaatheidsbesluit” te verlenen aan het VK. Daarmee zou de Europese Commissie oordelen dat het VK voldoende beschermingsniveau biedt aan persoonsgegevens en dat er geen extra vereisten zijn om data uit te wisselen met EU-landen. In dat geval zou data-uitwisseling met het VK ondanks de Brexit op dezelfde manier kunnen als voorheen.

GDPR Audit?

Wilt u graag dat onze experts in Privacy & IT recht een audit doen van uw huidige beleid en processen? Onze advocaten brengen helder in kaart waar de pijnpunten liggen en welke prioriteiten deze hebben. Vervolgens bieden wij een concreet stappenplan om uw onderneming in no time GDPR en privacyproof te maken.

Onze experts helpen jou met je GDPR audit

Of boek hier uw gratis telefoongesprek met privacy expert Steven De Grave

Ontdek meer over wat wij doen op het gebied van Privacy & Gegevensbescherming

Aanbod Privacy & Gegevensbescherming

Meer weten over wat er gebeurd sinds de GDPR op 25 mei 2018 van kracht ging?

window.onload = function() { Calendly.initBadgeWidget({ url: ‘https://calendly.com/steven-degrave/telefonische-consultatie-gratis’, text: ‘Stel uw vraag in een gratis telefoongesprek met privacy expert Steven De Grave’, color: ‘#285ff0’, textColor: ‘#ffffff’, branding: true }); }

Geschreven door

Ingrid De Poorter

Ingrid De Poorter is Managing Partner en heeft de leiding over de afdelingen Data, Tech & Entertainment en Ondernemingsrecht.

Meer info