1. Home
  2. Nieuws
  3. Startsein voor GDPR: hype of bittere ernst?

Startsein voor GDPR: hype of bittere ernst?

Maandenlang hét topic van de dag en nu eindelijk daar: vanaf vandaag, 25 mei, geldt de GDPR. Wat staat ons te wachten? We zetten alles nog eens op een rijtje voor u.

25052018_gdpr_start_nl_1200x627

Bereidde u zich de afgelopen maanden goed voor? Dan staat uw gegevensbeschermingsbeleid op punt.

  • Uw personeel kent de nieuwe regels en uw privacybeleid.
  • Uw onderneming telt een of meerdere gegevensbeschermingverantwoordelijken of DPO’s.
  • U hebt uw verwerkingen in kaart gebracht en geanalyseerd.
  • U hebt de technische en organisatorische maatregelen genomen om uw persoonsgegevens goed te beschermen.

Het grootste werk is dus al achter de rug. Toch bent u nog niet klaar. Hiermee moet u vanaf vandaag rekening houden:

Communicatie

Het maakt niet uit welke persoonsgegevens u verwerkt of op welke rechtsgrond u zich baseert. U moet de betrokkenen altijd op de hoogte brengen van de verwerking en hun rechten. Op een beknopte en transparante, begrijpelijke en gemakkelijk toegankelijke manier. Liefst schriftelijk of elektronisch.

Vult de betrokkene zijn gegevens zelf in op uw website? Dan plaatst u er beter een privacyverklaring bij die hij tijdens en na het invullen van zijn gegevens gemakkelijk kan raadplegen.

Ontvangt u de gegevens van de betrokkene via een schriftelijk contract? Dan voegt u de verklaring beter toe als een apart document.

Krijgt u de persoonsgegevens van een andere onderneming? Dan neemt u zelf contact op met de betrokkene en bezorgt u hem de verklaring. Daarnaast moet de overdragende onderneming de betrokkene meedelen dat u zijn persoonsgegevens krijgt.

Verzoeken van betrokkenen

Dankzij de GDPR krijgen de betrokkenen enkele nieuwe rechten. De media schenken veel aandacht aan de nieuwe regelgeving en iedereen is zich bewuster over zijn rechten rond privacy. Dus vroeg of laat nemen betrokkenen contact met u op over een van deze rechten:

  • recht van inzage
  • recht op rectificatie
  • recht op gegevenswissing
  • recht op beperking van de verwerking
  • recht op overdraagbaarheid van de gegevens
  • recht van bezwaar

Ze mogen u ook meedelen dat ze niet langer de toestemming geven voor de verwerking van hun persoonsgegevens.

Het is van cruciaal belang dat u die aanvragen binnen een redelijke termijn behandelt. En dat ieder personeelslid goed op de hoogte is. Want dergelijke verzoeken bereiken vaak uw onderneming via een personeelslid dat niet noodzakelijk de vermelde contactpersoon is.

Register van verwerkingsactiviteiten

U hebt al een blauwdruk van uw dataregister. Hou die vanaf vandaag zeker up-to-date. Komt u in aanraking met de Gegevensbeschermingsautoriteit? Dan is dit register het belangrijkste document dat u moet voorleggen. Als het goed is opgesteld, vermijdt u veel narigheid. Want het toont aan dat u een doordacht gegevensbeschermingsbeleid voert, op de hoogte bent van de GDPR-regels en u zich daaraan wilt houden.

Gegevensbeschermingseffectbeoordeling

Vanaf vandaag moet u altijd een voorafgaande risicoanalyse (DPIA) opstellen voor verwerkingen die mogelijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen. In de DPIA bepaalt u de context van de verwerking en stelt u de risico’s vast. Zo pakt u die aan met de juiste maatregelen.

Bewijst uw DPIA niet dat u de risico’s van de verwerking voldoende kunt inperken? Dan mag u die verwerking niet uitvoeren. Wilt u dat wel? Contacteer dan de Gegevensbeschermingsautoriteit. Die geeft u misschien toch groen licht.

Gegevenslekken

Ten slotte registreert u alle gegevenslekken die zich voordoen in uw onderneming – al dan niet in het register. Bovendien meldt u elk gegevenslek binnen de 72 uur aan de Gegevensbeschermingsautoriteit, tenzij het niet waarschijnlijk is dat dit gegevenslek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Is het risico hoog? Dan brengt u ook de betrokkenen op de hoogte.

Ook daarbij is het een must dat u uw personeel goed inlicht. Gegevenslekken kunnen zich namelijk bij elk personeelslid van uw onderneming voordoen.

 

 

Auteur: Diether Vandenbussche

 

 

  345