Tips om uw organisatie snel klaar te stomen vóór de inwerkingtreding van de GDPR: Deel 1

Hieronder kan u een overzicht vinden van de absolute "must do's" voor overeenstemming met de GDPR. Biedt dit garanties dat u 100% in orde bent? Neen, daarvoor is dit overzicht te summier. Het helpt u wel om een aantal evidente zaken niet over het hoofd te zien.

Tip 1: Leg een verwerkingsregister aan!

Dit is zonder meer de hoogste prioriteit. Of u nu verwerkingsverantwoordelijke (data controller) of verwerker (data processor) bent, iedereen moet dergelijk register aanleggen. Dit register vervangt het vroegere systeem van aangiftes van gegevensverwerkingen bij de Data Protectie Autoriteit (DPA).

Het register van de verwerkingsactiviteiten moet een overzicht geven van alle verwerkingen van persoonsgegevens in uw organisatie. Zowel interne (bv. persoonsgegevens van medewerkers voor betaling lonen) als externe verwerkingen (bv. verwerking persoonsgegevens om mailing uit te sturen naar een klantenbestand).

Wat moet u in dat register opnemen? Een aantal essentiële zaken zoals: het doel van de verwerking, het type van persoonsgegevens die verwerkt worden, de bewaartermijn voor die gegevens, de rechtsgrond voor de verwerking, de aanduiding van de verwerker, of de gegevens aan derden of zelfs buiten de EU worden verstuurd, enz.

Hoe begint u hieraan?

Tegen 25 mei moet u alleszins over dit register beschikken. U moet dit ook up-to-date houden. Als uw organisatie een DPO heeft aangesteld dan kan hij/zij erover waken dat dit register regelmatig bijgewerkt wordt. Gebruik een model (zie verder) dat u gepast lijkt en verdeel het werk over de verschillende departementen. Verzamel de relevante info over de verwerkingen binnen de onderneming en neem ze op de correcte manier op in het register.

De Belgische Privacy Commissie heeft op haar website een modelvoorbeeld van een verwerkingsregister ter beschikking gesteld. DNS Belgium zal dit model gebruiken als basis voor haar verwerkingsregister. Kolommen die niet relevant zijn, kan u blanco laten of gewoon weglaten.

Tip

Pieker u niet suf op uw verwerkingsactiviteiten! Liever een beperkt register met de voornaamste activiteiten in orde tegen 25 mei dan een waslijst met verwerkingen waarvoor de cruciale gegevens nog ontbreken. Dit register is een "levend document" dat regelmatig bijgewerkt moet worden.     

Tip 2: Creëer bewustzijn bij uw medewerkers!

Een organisatie zal falen op haar beleid inzake bescherming van persoonsgegevens als de medewerkers ervan zelf niet een minimaal bewustzijnsniveau hebben inzake het omgaan met zulke gegevens.

GDPR is niet enkel een zaak voor het management en het juridisch departement. "Privacy by design" legt aan de IT-afdeling de verplichting op de verwerking van persoonsgegevens zo klein mogelijk te houden en gepaste maatregelen te nemen om die gegevens te beschermen bij het ontwerpen en bouwen van applicaties.

Wat kunt u hieraan doen?

Op het internet zijn genoeg artikels te vinden over de GDPR die in bevattelijke taal de verschillende aspecten ervan uitleggen. Probeer relevante informatie te verzamelen en plaats dit op het interne netwerk van het bedrijf, verwerk het in presentaties, organiseer eventueel een workshop en stel begrijpbare procedures op die iedereen.   

Zorg er ook voor dat de tekst van de GDPR in de voor het bedrijf relevante talen eenvoudig beschikbaar is. Idealiter wordt van die lijvige GDPR een soort van vereenvoudigde tekst of presentatie gemaakt.

De verschillende taalversies van de GDPR zijn alvast beschikbaar op de EUR Lex site. Een andere interessante site over de GDPR is: https://www.eugdpr.org/eugdpr.org.html

Tip 3: Krijg toestemming van de betrokkenen!

De verwerking van persoonsgegevens vereist in principe de toestemming van de betrokkene. Zoals we in een eerder artikel zagen, bestaan hier uitzonderingen op, bv. indien de verwerking van de gegevens nodig is voor de uitvoering van een contract. Zo hoeft u de betrokkene geen toestemming vragen om bepaalde gegevens te verwerken die nodig zijn voor de facturering van diensten die hij/zij afneemt.

Veel van de verwerkingsactiviteiten zijn echter wel gebaseerd op de (veronderstelde) toestemming van de betrokkene. Denk hierbij vooral aan alle elektronische mailingen die uitgestuurd worden (naar klantenbestand, leveranciers, nieuwsbrieven, etc.).

Voorbeeld: een elektronisch nieuwjaarskaartje.

Een voorbeeld van hoe een onschuldige en vriendelijke praktijk u ongewild in de problemen kan brengen. Veel bedrijven sturen hun klanten, leveranciers en contacten een e-card met Kerst- en Nieuwjaarswensen. Dit gebeurt op basis van een door de medewerkers van het bedrijf aangelegde lijst met e-mailadressen.

Wat is de rechtsgrond voor deze verwerking? Heeft u ooit expliciete toestemming gekregen van de betrokkenen? Is dit om een contract uit te voeren? Is er sprake van gerechtvaardigd belang of wettelijke verplichting? Hoogst waarschijnlijk is het antwoord op deze vragen neen. U doet er dan ook best aan om alle personen op uw e-card lijst een bericht te sturen en om bevestiging te vragen om ook in de toekomst nog een e-card van u te mogen ontvangen.

Wat te doen?

Check welke mailingen uw bedrijf verstuurt. Als deze mailingen geadresseerd zijn aan fysieke personen (voornaam.naam@bedrijf.be) dan zult u actie moeten ondernemen. Vroeger werd de toestemming van de betrokkene immers vaak impliciet verkregen. Onder de regels van de GDPR zal dit niet meer mogen en moet de toestemming vrij, specifiek, geïnformeerd, ondubbelzinnig en op actieve wijze gegeven worden.

Belangrijk is ook dat de gegeven toestemming controleerbaar moet zijn. Nog een reden dus om de bestemmelingen van uw mailingen een bericht te sturen met vraag ter bevestiging van hun inschrijving.   

Tip 4: Maak werk van een privacyverklaring en -beleid!

Een aantal zaken komen regelmatig terug in de tekst van de GDPR: transparant, beknopt, makkelijk toegankelijk, in duidelijke en eenvoudige taal…

Het privacy beleid van uw onderneming moet hiermee overeenstemmen. Vaak zijn regels inzake bescherming van persoonsgegevens ergens "begraven" in weinig bevattelijke juridische teksten zoals algemene voorwaarden.

Het blijft nodig om de essentiële zaken te integreren in uw algemene voorwaarden, contracten met leveranciers en andere soortgelijke documenten. Daarnaast moet u werk maken van een begrijpelijke en eenvoudige weergave van uw privacy beleid. Deze zogenaamde privacyverklaring plaatst u best op uw website op een makkelijk toegankelijke plaats.

Wat neemt u best allemaal op in zo'n privacyverklaring?

  • Identiteit en contactgegevens van de verwerkingsverantwoordelijke (als registrar van DNS Belgium zult u dus zowel ons als uw eigen onderneming moeten vermelden + uitleggen wie wat doet met de gegevens);
  • Indien van toepassing, contactgegevens van uw DPO;
  • Verwerkingsdoeleinden waarvoor persoonsgegevens zijn bestemd + de rechtsgrond voor de verwerking (bv. op basis van toestemming);
  • In voorkomend geval, aan wie deze gegevens worden doorgegeven + aanduiding of de gegevens naar niet EU-landen worden doorgestuurd;
  • Hoe lang de gegevens bijgehouden worden;
  • Verwijzing naar de rechten van de betrokkenen;

Een voorbeeld van zo'n privacyverklaring vindt u op onze website.

De laatste stap is de moeilijkste; zorg dat uw onderneming ook effectief uitvoert wat u opneemt in uw privacyverklaring. Draag er dus zorg voor dat alle medewerkers op de hoogte zijn van de privacyverklaring en het onderliggende beleid zodat overeenkomstig gehandeld wordt.  

Tip 5: Check of u een Data Protection Officer (DPO) moet aanstellen of niet!

Voor bepaalde categorieën van verwerkers of verwerkingsverantwoordelijken bestaat de verplichting om een Data Protection Officer aan te duiden. Kort gesteld is dit een persoon - interne medewerker of externe consulent - die instaat voor de naleving van de GDPR-verplichtingen. Daarnaast is hij/ Zij verantwoordelijk voor de ondersteuning van uw bedrijf in alle aangelegenheden die te maken hebben met bescherming van persoonsgegevens.

Wanneer is de aanstelling van een DPO nodig?

De meerderheid van de bedrijven zal het zonder een DPO kunnen stellen. De aanstelling is verplicht voor de overheid en overheidsbedrijven, verwerkers van bijzondere persoonsgegevens (info over etnische afkomst, politieke, seksuele of religieuze voorkeuren…), verwerkers van gegevens m.b.t. strafrechtelijke feiten en wanneer uw hoofdactiviteit bestaat uit het op grote schaal verwerken van gegevens die regelmatige en stelselmatige observatie van de betrokkenen vereist. Dit laatste is bijzonder onduidelijk maar er wordt verwezen naar monitoring van betrokkenen op grote schaal.

Op het eerste zicht zal u dus niet zo snel in één van die categorieën thuishoren maar u moet wel weten dat de nationale overheid van het bovenstaande kan afwijken en striktere regels kan opleggen inzake het verplicht aanstellen van een DPO.

Volgende maand komt het tweede deel uit met de laatste 5 tips om uw organisatie klaar te stomen.

 

registrar

Partij die domeinnamen registreert voor bedrijven, instellingen of personen. Naast het ‘verkopen’ van webadressen, kunt u bij een registrar vaak ook terecht voor andere services zoals hosting, webdesign enz. 

DNS

Domain Name System (Domein Naam Systeem) of Domain name server. Het wereldwijde DNS is het protocol dat op het internet gebruikt wordt om domeinnamen naar IP-adressen te vertalen en omgekeerd.