Voordat je overgaat tot de voorbereiding op de komst van de GDPR is het niet onbelangrijk te weten of je onder het toepassingsgebied valt:
De meeste bedrijven en personen verwerken op geautomatiseerde wijze persoonsgegevens of manueel in een gegevensbestand. Ben je echter niet zeker? Gebruik onze GDPR-checker om te weten of je al dan niet onder het toepassingsgebied van de GDPR valt.
Is dit het geval dan volg je best volgend stappenplan om je voor te bereiden:
Stap 1: Maak je vertrouwd met de GDPR en haar termen
De eerste stap in de voorbereiding is steeds het vergaren van de noodzakelijke kennis over het onderwerp. Om jouw verplichtingen juist te kunnen inschatten moet je minstens de algemene principes en juiste terminologie onder de knie hebben zoals ‘verwerkingsverantwoordelijke’, ‘persoonsgegevens’, … Lees er meer over in onze talrijke blogs. Of doe beroep op een privacy specialist.
Stap 2: Stel een dataregister op
Organiseer een interne audit waarin alle persoonsgegevens en de gedane verwerkingen worden in kaart gebracht. Dit geeft je in de eerste plaats een duidelijk beeld van wat er in jouw organisatie gebeurt met de gegevens en bovendien voldoe je hiermee aan een belangrijke nieuwe verplichting van de GDPR namelijk om een register van verwerkingsactiviteiten bij te houden.
Stap 3: Faciliteer de uitoefening van de rechten van de betrokkene
Identificeer de wettelijke grondslagen voor de verwerkingen uit het opgestelde register. De meest voorkomende wettelijke grondslagen zijn de toestemming van de betrokkenen, de noodzakelijkheid voor uitvoering van een overeenkomst en de gerechtvaardigde belangen van jouw bedrijf.
Informeer de betrokkenen op een juiste wijze over jouw verwerkingen. Hiervoor moet je mogelijk jouw bestaande privacyverklaring herevalueren. Voorzie interne procedures indien de betrokkene toegang tot zijn gegevens vraagt, rectificatie vraagt, uitwissing vraagt of een beperking van de verwerking vraagt. Stel hiervoor intern (of extern) een verantwoordelijke aan. In sommige gevallen moet je ook voorzien in de overdraagbaarheid van de gegevens (‘data protability’).
Voorzie op voorhand procedures om datalekken op te sporen, te rapporteren en te onderzoeken. Bijkomend kan je hier ook reeds de nodige document voor opstellen, een draaiboek voorzien en zelfs een oefening houden.
Stap 4: Duid een DPO aan
Nu je een duidelijk zicht hebt op de verwerkingen binnen jouw bedrijf en de meeste essentiële procedures hebt nagekeken en/of voorzien ga je na of je een DPO wil aanstellen. Check hier of je verplicht een DPO moet aanstellen.
Stap 5: Zorg ervoor dat medewerkers worden gesensibiliseerd
Zelfs de beste databeschermingspolicy is niks waard indien jouw medewerkers die niet op de werkvloer naleven. In de praktijk zien we dat het grootste deel van de gegevenslekken worden veroorzaakt door een interne medewerker, eerder dan bv. een kwaadwillige derde.[1] Bovendien voorziet de GDPR hoge sancties bij niet-naleving van haar verplichtingen. Zorg er daarom voor dat jouw medewerkers gesensibiliseerd en geschoold worden. Lees meer over de voordelen van e-learning.
Stap 6: Review de werking van jouw organisatie
Bekijk hoe je de concepten van gegevensbescherming door ontwerp en door standaardinstellingen kan implementeren (‘privacy by design’ en ‘privacy by default’). Dit wil zeggen dat enerzijds databeschermingsprincipes moeten worden ingebakken bij nieuwe verwerkingsprojecten en anderzijds dat de standaardinstellingen slechts de minimum hoeveelheid persoonsgegevens mogen verwerken. Daarnaast moet je bij bepaalde projecten een gegevensbeschermingseffectbeoordelingen (Privacy Impact Assessment of PIA) uitvoeren. Het gaat om activiteiten die een risico inhouden voor de rechten en vrijheden van personen, denk aan stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten zoals parkings, de verwerking op grote schaal van gezondheidsgegevens, etc.
Bekijk of de contracten met onderaannemer nog voldoende waarborgen bieden, zeker in het geval van internationale overdracht van gegevens.
[1] UK Information Security Breaches Survey 2015
