GDPR checklist

Je hebt nog tot mei 2018 de tijd om je bedrijf voor te bereiden op de GDPR. De meeste bedrijven hebben nog veel vragen, terwijl de nieuwe wetgeving weinig antwoorden biedt. Doorloop de checklist en kijk of jouw bedrijf klaar is voor de GDPR.

GDPR-compliant in 13 stappen

Hoe begin je aan de (lange) weg naar GDPR-compliancy? Als hulpmiddel is er een stappenplan gemaakt, waamee je in 13 stappen kunt nagaan hoe ver jouw bedrijf staat in het proces, en wat er nog moet gebeuren.

1. Begin met bewustmaking

Om te beginnen, kan je er maar best zeker van zijn dat medewerkers in het bedrijf op de hoogte zijn van de GDPR. Informeer werknemers over de aankomende veranderingen, en zorg ervoor dat sleutelfiguren weten wat de GDPR inhoudt. Zij moeten immers aangeven op welke vlakken het bedrijf moet ingrijpen om compliant te worden.

2. Waar staat je data?

Begin nu al met het vergaren van je data. Breng in kaart welke data je hebt bewaard en waar deze staat. Onderschat deze stap niet; niet alleen is het belangrijk om te weten waar de data zich bevindt, ook is het cruciaal om te weten met welke partijen je de informatie hebt gedeeld. Een informatie-audit kan daarbij helpen.

3. Privacyverklaring verbeteren

Ga na of je privacyverklaring nog up-to-date is. Volgens de GDPR moeten bedrijven hun privacyverklaring aanvullen met extra informatie zoals de wettelijke grondslag voor de gegevensverwerking, de duur waarvoor je de gegevens bewaart, en of je de gegevens deelt buiten de EU.

Bovendien moet de gebruiker op de hoogte worden gebracht dat hij of zij eventueel misbruik van zijn of haar gegevens aan kan klagen bij de Autoriteit Persoonsgegevens. Vermijd daarbij archaïsche taal: de privacyverklaring moet zo duidelijk mogelijk zijn.

4. Rechten van de betrokkene

In de GDPR krijgt de “betrokkene”, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten. Bedrijven moeten het mogelijk maken om die rechten te vervullen.

Controleer daarom of een gebruiker volgende acties kan ondernemen:

  • Persoonsgegevens inkijken
  • Gegevens verbeteren of verwijderen
  • Direct marketingpraktijken weigeren
  • Geautomatiseerde besluitvorming en profilering weigeren
  • Gegevens overdragen naar andere leveranciers/bedrijven

Normaal gezien zal je hier weinig hinder van ondervinden, omdat de GDPR hierin sterk voortbouwt op de huidige privacywetgeving.

5. Sneller gegevens inkijken

De gebruiker heeft het recht om zijn of haar gegevens in te kijken; dat is nu ook al het geval. Onder
invloed van de GDPR zal een bedrijf echter sneller moeten reageren. Het verzoek moet binnen 30
dagen worden verwerkt, in plaats van 45 dagen. Bovendien moet je de gebruiker in dat geval
informeren over de bewaartermijn van de gegevens, en moet je onnauwkeurige gegevens
verbeteren als daar om gevraagd wordt.

Als je een groot aantal verzoeken moeten verwerken, kan het nuttig zijn om gebruikers toe te laten
om hun gegevens online raad te plegen.

6. Bepaal een wettelijke grondslag voor het verwerken van persoonsgegevens

In tegenstelling tot de huidige wet, is het volgens de GDPR cruciaal om een wettelijke basis te
bepalen voor de gegevensverwerking. Die basis bepaalt immers ook welke rechten de gebruiker
heeft omtrent zijn gegevens. ”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering
van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,”
volgens de Autoriteit Persoonsgegevens. Die wettelijke grondslag moet beschreven worden in de
privacyverklaring en nog eens verduidelijkt worden bij een verzoek tot inkijk.

7. Op de juiste manier toestemming vragen

Controleer op welke manier je toestemming vraagt en hoe je deze bewaart. Op de verzameling van
persoonsgegevens kijkt de GDPR streng toe of je de gebruiker voldoende inlicht. Je moet ten alle
tijden kunnen bewijzen dat er toestemming is gegeven voor de persoonsgegevens die je hebt
bewaard. Dat moet expliciete toestemming zijn; geen vooraf aangevinkt vakje of andere vorm van
“niet-handelen”. De gebruiker moet actief akkoord gaan.

8. Wat met minderjarigen?

Vanaf nu moet ook sterker worden gecontroleerd op de persoonsgegevens van minderjarigen. Als je bedrijf de gegevens van gebruikers onder 16 jaar verzamelt, moet je de toestemming hebben van
een ouder of voogd. Indien nodig moet je kunnen toetsen of deze van de ouder of voogd afkomstig
is. Bovendien moet de privacyverklaring geschreven zijn zodat ook minderjarigen deze kunnen
begrijpen.

9. Zorg dat je klaar bent voor een datalek

De gevreesde meldplicht: datalekken waarbij de persoonsgegevens gevaar lopen, moeten gemeld
worden aan de Autoriteit Persoonsgegevens. De nodige procedures moeten dus worden ontwikkeld om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Onderzoek ook welke
persoonsgegevens er toe kunnen leiden dat je de gebruiker zelf moet waarschuwen: bijvoorbeeld het geval wanneer bankgegevens gestolen worden, en de gebruiker mogelijk bestolen kan worden.

10. Privacy by design en PIA

Implementeer de twee centrale begrippen van de GDPR: privacy by design en Privacy Impact
Assessment (PIA). Privacy by design draait om het inbouwen van privacy in elk systeem vanaf de
conceptfase. Elk proces moet met andere woorden vanaf het begin gericht zijn op privacy. Het
houden van PIA’s is daar onderdeel van: een PIA analyseert de impact van bijvoorbeeld een nieuw
systeem. Begin in dat opzicht nu al met het ontwikkelen van een goede strategie: wie voert de
analyse uit? In welke situaties? Hoe kunnen bestaande systemen verbeterd worden door privacy by
design?

11. De data protection officer (of functionaris voor gegevensbescherming)

Kijk allereerst na of je een data protection officer (DPO) nodig hebt: dat is niet voor elk bedrijf
verplicht. Als je er een nodig hebt, kan je al op zoek gaan naar een geschikte kandidaat. Een nieuwe, fulltime werknemer is niet per se nodig, denk ook aan een consultant, of een interne werknemer die de functie naast zijn bestaande job opneemt.

Er zijn 3 soorten bedrijven die verplicht zijn om een DPO aan te nemen:

  • alle organisaties in de publieke sector (behalve rechterlijke instanties), zoals overheidsorganisaties;
  • bedrijven die bij de dataverwerking “regelmatige en stelselmatige observatie” nodig hebben, bijvoorbeeld vanwege “aard, omvang of doeleinden” van de verwerking;
  • bedrijven die persoonsgegevens verwerken uit een “bijzondere categorie“, zoals informatie over ras, politieke opvattingen, religie, biometrische gegevens, gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen.

Belangrijk om te weten is ook dat een DPO volgens een vorig voorstel van de GDPR enkel verplicht kon zijn voor bedrijven met meer dan 250 werknemers. Die voorwaarde ontbreekt echter in de uiteindelijke versie; de grootte van een bedrijf doet er dus nu niet meer toe.

12. Internationaal

Als je in verschillende landen persoonsgegevens verzamelt, moet je nagaan welke autoriteiten
toezicht houden over jouw activiteiten. Over het algemeen wordt naar de hoofdzetel gekeken: een
bedrijf met een Nederlandse hoofdzetel, en daarnaast branches in bijvoorbeeld België, valt nog
steeds onder de Autoriteit Persoonsgegevens. Het kan echter ook zijn dat niet de hoofdzetel, maar
een van de internationale takken beslist over de gegevensverwerking van het hele bedrijf. In dat
geval valt het bedrijf onder de autoriteit in dat specifieke land. Check daarom waar de grootste
beslissingen worden genomen inzake de verwerking van persoonsgegevens, en baseer je daarop om te weten welke autoriteit van kracht is.

13. Bestaande contracten

Vergis je niet, de GDPR is ook van toepassing op eventuele diensten waar je bedrijf gebruik van
maakt. Gebruik je bijvoorbeeld een verwerker, een bedrijf die de persoonsgegevens verwerkt zodat
jij ze kan gebruiken, dan is ook die verantwoordelijk voor de privacy van de gegevens. Opgelet: een
verwerker is volgens de GDPR evengoed een cloudprovider. Ook zij moeten de GDPR naleven, en als jij hun diensten gebruikt, ben jij verantwoordelijk om te controleren of ze compliant zijn. Controleer dus bestaande contracten en maak de nodige aanpassingen.