Hoe maak ik mezelf GDPR-compliant in 7 stappen?
20 april 2018GDPR zorgt voor kopzorgen binnen veel bedrijven. Daarom zet Flexmail op een rijtje wat je best nu al doet om ervoor te zorgen dat je tegen 25 mei 2018 in regel bent met de GDPR-wetgeving.
1. Bewustwordingmeeting GDPR
- Raadpleeg verschillende bronnen zodat je goed begrijpt wat GDPR inhoudt en wat jij moet doen om compliant te zijn. Uitgebreidere artikels van ons kan je hier raadplegen
- Zorg ervoor dat iedereen in het bedrijf op de hoogte is. Het is niet de verantwoordelijkheid van één afdeling. Het is een team effort. Je kan eventueel een workshop organiseren om te zorgen dat iedereen duidelijk weet wat je van hen verwacht.
- Stel eventueel een sleutelfiguur aan die een overzicht heeft. Hij of zij schat dan in wat er binnen het bedrijf moet gebeuren.
2. Doe een inventaris
- Kijk na welke gegevens je bijhoudt, hoe lang, waar ze vandaan komen en met wie je ze deelt.
- Leg een database aan. Je hebt vanaf 25 mei een meldplicht. Je bent vanaf dan verplicht om een data lek te melden binnen de 72 uur aan de overheid.
3. Update je documenten
Persoonlijke data mag enkel verwerkt worden als het noodzakelijk is voor de uitvoering van je diensten. De data mag daarnaast niet eindeloos bewaard worden. Je kijkt daarom best belangrijke documenten na zoals overeenkomsten, algemene voorwaarden, privacyverklaring en dergelijke. Het kan zijn dat je ze moet aanpassen/updaten om te voldoen aan de regelgeving.
4. Toestemming
Toestemming is het belangrijkste punt van de nieuwe wet. De wet kwam tot stand met de bedoeling om burgers te beschermen. Daarom moet de toestemming die de klant geeft vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Daarnaast moet de klant actief handelen om te mogen worden geregistreerd. Concreet betekent dat dat je geen vakjes meer mag aanvinken op voorhand. Is de klant minderjarig dan moet een ouder of voogd toestemming geven.
5. Spreek klare taal
Één van de belangrijkste problemen en redenen voor de invoering van de GDPR-wet is dat mensen graag wilden weten wat er met hun persoonlijke data gedaan werd. Ze wilden meer transparantie en met de nieuwe regelgeving is er die ook. Je moet vanaf 25 mei duidelijk aangeven:
- Waar je de gegevens voor gebruikt
- Hoe lang je ze gaat bijhouden
- Ga je ze uitwisselen?
- Ga je ze uitwisselen buiten de EU?
- …
6. Waar heeft je klant recht op?
Deze verzoeken zullen verplicht uit te voeren zijn na 25 mei 2018. Zorg er dus voor dat er procedures klaarstaan om deze vragen te behandelen.
7. Moet ik een Data Protection Officer aanstellen?
Je bent enkel verplicht een DPO aan te stellen als overheidsinstelling of als je regelmatig privacygegevens op grote schaal verwerkt. Dat zijn bijvoorbeeld direct marketing bedrijven. Je kan hiervoor een externe consulent of iemand intern aanstellen. Die persoon is dan preventieadviseur voor privacy.
Met deze richtlijnen in je achterhoofd ben je goed op weg om van de nieuwe GDPR-regelgeving niet een probleem, maar opportuniteit te maken!