Blog

GDPR Checklist: Een handleiding naar compliancy

Vanaf 25 mei 2018 is de GDPR (General Data Protection Regulation) van kracht. Hoe jouw organisatie met deze veranderingen om kan gaan? Dat vind je in deze GDPR Checklist!

Deze verordening staat in Nederland ook wel bekend onder de naam AVG (Algemene Verordening Gegevensbescherming). Het niet naleven van de GDPR brengt hoge boetes met zich mee. Boetes kunnen oplopen tot maar liefst 4 procent van je totale omzet of 20 miljoen euro. Meldplicht Datalekken is er al, maar de GPDR gaat een stap verder. Wanneer een organisatie persoonsgegevens verzamelt, moet de persoon van wie deze persoonsgegevens zijn, zijn of haar gegevens kunnen inkijken.

Informeren & documenteren

Informeer je medewerkers over de veranderingen van de GDPR. Inventariseer daarnaast je data. Welke persoonsgegevens verzamelt jouw organisatie? Waar worden deze persoonsgegevens verzameld? Breng dit in kaart. Dit geldt overigens ook voor de gegevens die je in het verleden verzameld hebt. Een audit maakt het mogelijk om binnen een organisatie inzicht te krijgen in alle informatie en de verwerking van deze informatie.

Verwerkingsregister & meldingsplicht

Een van de veranderingen met de komst van de GDPR is dat je als bedrijf een verwerkingsregister moet bijhouden. Hierin registreer je alle verwerkingen van persoonsgegevens. Ook moet je alle datalekken intern documenteren. Zelfs wanneer deze niet onder de meldingsplicht vallen.
Wanneer persoonsgegevens zijn gelekt, heb je meldingsplicht. Stel een procedure op om datalekken op te sporen, te rapporteren en te onderzoeken.

Privacyverklaring

Zorg er als organisatie voor dat er een privacyverklaring aanwezig is. Deze verklaring moet in begrijpelijke taal geschreven zijn. Wanneer je een privacyverklaring hebt, ga dan na of die verklaring up-to-date is. Wanneer de GDPR ingaat, zal je je privacyverklaring moeten aanvullen met extra informatie. Je moet bijvoorbeeld de wettelijke grondslag voor gegevensverwerking in je privacyverklaring zetten. Wanneer je gegevens deelt buiten de EU, valt dit ook onder de privacyverklaring.

Persoonsgegevens & recht van betrokkene

Het begrip ‘persoonsgegevens’ breidt flink uit met ingang van de GDPR. Denk hierbij bijvoorbeeld aan een handschrift of stem. Alle gegevens die mogelijk leiden naar een persoon, vallen hieronder. Je mag alleen persoonsgegevens opslaan die je ook echt nodig hebt. Wanneer je bepaalde persoonsgegevens niet meer nodig hebt, mag je ze ook niet meer bewaren.

Iemand van wie persoonsgegevens verwerkt worden, wordt een betrokkene of gebruiker genoemd. Het recht van de betrokkene of gebruiker zal met ingang van de GDPR zwaarder worden. Dit houdt in dat de betrokkene van wie jij persoonsgegevens verwerkt, zich met de komst van de GDPR kan beroepen op een aantal bijkomende rechten. Je moet het als bedrijf mogelijk maken om deze rechten te vervullen. Dit betekent bijvoorbeeld dat je als bedrijf er zorg voor moet dragen dat een betrokkene zijn of haar verzamelde gegevens kan inkijken, verbeteringen kan aanbrengen of zelfs gegevens kan verwijderen. Ook moet een betrokkene of gebruiker direct marketingpraktijken, zoals een nieuwsbrief, kunnen weigeren. Wanneer de GDPR van kracht wordt, zal je als bedrijf sneller moeten reageren op verzoeken van betrokkene dan voorheen. Denk hierbij bijvoorbeeld aan het verwijderen van persoonsgegevens. Het verzoek moet binnen 30 dagen verwerkt worden. Eerder was dit 45 dagen.

Toestemming

Onder de nieuwe regels moet een betrokkene expliciet toestemming geven voor bijvoorbeeld het aanmelden van een nieuwsbrief. Op deze manier wordt opdringerigheid, van bijvoorbeeld het rondsturen van (ongewenste) nieuwsbrieven, teruggedrongen.

Je moet ten alle tijden kunnen bewijzen dat er expliciet toestemming is gegeven door de betrokkene. Zorg voor een controlespoor. Zo kun je de toestemming van de betrokkene aantonen.

Functionaris voor de Gegevensbescherming

Wanneer je als bedrijf dagelijks persoonsgegevens verwerkt, moet je een Functionaris voor de Gegevensbescherming (FG) aanstellen. Dit kan iemand binnen de organisatie zijn, maar ook een externe adviseur. De Functionaris voor de Gegevensbescherming houdt toezicht op de naleving van de nieuwe regels binnen de organisatie. De Engelse benaming voor deze functionaris is Data Protection Officer (DPO). Wanneer het niet helemaal duidelijk is of jij een Functionaris voor de Gegevensbescherming aan moet stellen, moet je goed onderbouwen waarom je hebt gekozen om wel of juist geen FG aan te stellen.

Als ondernemer kan het lastig zijn om juridische termen en open eindes te doorgronden. Heb je vragen over de GDPR? Of wil je meer weten over de GDPR? Neem een kijkje in ons GDPR-dossier op gdpr.eshgro.nl