396336565026791
 

Wat moet ik ondernemen om ervoor te zorgen dat mijn bedrijf in orde is met GDPR?

Bijgewerkt op: 1 apr.

Er bestaat helaas geen standaard stappenplan of checklist die je kan afvinken en waarbij je zeker bent dat je gegevensverwerking in overeenstemming met de GDPR plaatsvindt.




Wij proberen je hierbij toch een leidraad te geven.


Wat is het GDPR compliancy traject dat je zou kunnen doorvoeren :


1. Training

Als DPO beschikt Wdcom360 over de nodige certificaten en opleidingen en mogen we berusten op een certifiëring als Europees Data Protection Officer. Zo kunnen we voor je interne GDPR-opleidingen en sensibiliseringstrainingen organiseren. Het is een wettelijke plicht om ieder jaar dergelijke opleidingen en vakgerichte sessies te organiseren binnen je bedrijf.



2. GDPR audit/0-METING

Door middel van een doorgedreven audit maken we een onpartijdige analyse van de mate waarin de GDPR-principes reeds correct worden toegepast in de onderneming. In deze audit analyseren we alle verwerkingen van persoonsgegevens van websitebezoekers, fysieke bezoekers, prospects, klanten, leveranciers, (freelance) partners en medewerkers. Het resultaat wordt een helder compliancy overzicht, opgesteld door de DPO, gevolgd door een actieplan op bepaalde punten, en gedocumenteerd in een DPO Systeem.


3. Opstellen van het dataregister

Het dataregister is een wettelijke verplichting die de vroegere aangifteplicht bij de Privacycommissie heeft veranderd naar een documentatieplicht. Het register met de verwerkingsactiviteiten van persoonsgegevens moet je bij een eventuele controle kunnen tonen. Belangrijk is dan ook dat nieuwe of veranderde verwerkingen gemeld worden aan de DPO.


4. Doelbinding

Iedere verwerking van persoonsgegevens moet met een rechtmatig doel verbonden zijn. Voor iedere verwerkingsactiviteit dient dus het doel bepaald te worden én daarbij houden we het principe van dataminimalisatie in het achterhoofd. Je mag immers niet méér persoonsgegevens bijhouden dan nodig voor het beoogde doel.


5. Controle van de rechtsgrond en/of toestemming

Voor iedere verwerkingsactiviteit is een rechtsgrond of actieve toestemming vereist. Toestemming van de betrokkenen moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bij verwerking van persoonsgegevens van minderjarigen is bovendien de toestemming van een ouder of voogd nodig. Bij iedere verwerkingsactiviteit vul je de rechtsgrond aan in het register.


6. Communicatie over privacy

Door een privacybeleid en de overeenkomsten kritisch te evalueren kijk je of je steeds op een beknopte, begrijpbare en duidelijke manier informatie verstrekt over de verwerkingsactiviteiten. Zo herschrijf je of evalueer je eerst je privacy policy naar het grote publiek , alsook naar je medewerkers.


7. Opstellen van overeenkomsten, clausules en procedures

Het is een noodzaak overeenkomsten, werkwijzen en procedures op te stellen met betrekking tot de rechten van de betrokkenen, de bescherming van de gegevens die we verwerken en de plichten die we als verantwoordelijke en als verwerker te vervullen hebben. Al de externe en zelfs interne (groepen, multinational) persoonsgegevensverwerkingen zijn vastgelegd in Data Processing Agreements.


8. Evaluatie van de technische en organisatorische maatregelen

Omdat de beveiliging van de persoonsgegevens die je verwerkt als verantwoordelijke, én als verwerker voor de klant aantoonbaar moet zijn, en omdat we van security een top priority maken, werk je zowel met geautomatiseerde als met manuele controles van de beveiliging. Je dient alles op alles te zetten om een datalek te voorkomen en dat moet de standaard zijn.


9. Sensibilisering van het team

We blijven de medewerkers in ons bedrijf bewustmaken over de GDPR.


10. Opvolgingsaudits

Door middel van periodieke opvolgingsaudits plan je een kritische denkoefening jaarlijks opnieuw in en zo blijft ook in de toekomst duidelijk in welke mate de veilige omgang met data nog steeds correct wordt toegepast. Zo blijft je organisatie, maar ook je team scherp!


Misschien denk je wel : "Persoonsgegevens verwerk ik niet" ?


Heb je al gedacht aan :

  • direct identificeerbaar : foto, naam,...

  • indirect identificeerbaar : klantnummer, nummerplaat, IP-adres, email, adres, personeelsnummer,....

Zeer traditionele dingen die in ieder bedrijf of KMO de revue passeren. Dus ook jij dient hier veilig mee om te springen.


Misschien denk je wel : "Die gegevens verlaten mijn bedrijf nooit" !


Heb je al gedacht aan :

  • Het werken met Google en Amazonplatforms - opgelet met de Amerikanen ! (zeer strikte regels)

  • Crm systemen (zoals Salesforce)

  • Sociale secretariaten en interimkantoren

  • Verzekeraars (hospitalisatie, groepsverzekering, autoverzekering,..)

  • Misschien gebruik je wel social media voor je marketing ?

  • Of misschien beveilig je wel je bedrijf met camera's ?

Allemaal partners waarbij je gegevens de deur uit gaan. Heb je afspraken lopen met hen omtrent GDPR ? Zijn deze sluitend en voldoende ?


Veel vragen en open punten waar je misschien onzeker over bent. Zaken waar je risico loopt op sancties vanuit de overheid als iets voorvalt.


Denk nooit : ons overkomt dat niet !

Check bijgaande lijst van veroordelingen in Europa

GDPR Enforcement Tracker - list of GDPR fines


Wdcom360 zal en kan je helpen en doorheen deze materie loodsen want wij zijn expert in de materie op europees vlak. We maken juridische inhoud voor jou verstaanbaar en vertalen deze in de praktijk.

Geef ons een seintje voor éénder welke vraag die je hebt.

2 weergaven0 opmerkingen

Recente blogposts

Alles weergeven