De nieuwe Europese privacywet General Data Protection Regulation (GDPR) staat voor de deur. Vanaf 25 mei 2018 wordt deze wet gehandhaafd. Dat betekent dat u de bedrijfsvoering hierop moet aanpassen. Bent u al gestart met de voorbereidingen? Met een handig 12-stappenplan helpen wij u graag op weg. Stap voor stap gaat u na hoe ver uw bedrijf staat in het proces en wat er nog moet gebeuren.

1. Spread the word!

Zijn uw medewerkers al op de hoogte van de GDPR? En weten de sleutelfiguren binnen uw organisatie al wat deze privacywet inhoudt? Spread the word! Zij kunnen u aangeven op welke vlakken uw bedrijfsvoering moet worden aangepast. Kennisdeling is hierin key.

2. Breng data in kaart

Waar staat uw data? Start nu al met het vergaren van uw gegevens. Breng in kaart welke data u waar bewaarde en met welke partijen u deze informatie deelde. Een informatie-audit biedt hierin uitkomst.

3. Verbeter en verduidelijk de privacyverklaring

Is uw privacyverklaring nog up-to-date? Waarschijnlijk moet u deze, in lijn met de GDPR, aanvullen met extra informatie. De verklaring moet voortaan in eenvoudige taal precies en volledig uitleggen wat u doet met persoonsgegevens. Ook moet u mensen wijzen op hun rechten. Zo mogen zij hun gegevens aanpassen, inzien en zelfs vernietigen.

4. Sta paraat

Maakt iemand, na ingang van de GDPR, gebruik van het recht om zijn gegevens in te zien? Dan moet u dit verzoek al binnen 30, in plaats van 45 dagen, verwerken. Daarnaast dient u de persoon in kwestie te informeren over de bewaartermijn van zijn gegevens. Ook bent u verplicht onnauwkeurige gegevens te verbeteren als daarom wordt gevraagd.

5. Bepaal een wettelijke basis

De GDPR verplicht u om een wettelijke basis te bepalen voor de gegevensverwerking. Die wettelijke grondslag beschrijft u in de privacyverklaring en verduidelijkt u bij een verzoek tot inkijk.

6. Vraag expliciet toestemming

Hoe vraagt u toestemming voor het bewaren van persoonsgegevens? Licht u de gebruiker al voldoende in? Neem dit onder de loep. Binnenkort moet u immers te allen tijden kunnen aantonen dat er expliciet toestemming is gegeven voor de persoonsgegevens die u bewaart.

7. Ga voor toestemming en eenvoudig taalgebruik bij minderjarigen

Verzamelt u gegevens van gebruikers onder de 16 jaar? Schrijf uw privacyverklaring dan zo dat ook minderjarigen uw taalgebruik begrijpen. Vraag daarnaast altijd toestemming van een ouder of voogd.

8. Ben voorbereid op een datalek

Natuurlijk hoopt u dit nooit mee te maken, maar krijgt u ooit te maken met een datalek, dan bent u binnenkort verplicht dit te melden bij de Autoriteit Persoonsgegevens. Wees hierop voorbereid. Ontwikkel de nodige procedures om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden.

9. Ga voor Privacy by Design en PIA

Binnen de GDPR staan twee begrippen centraal: Privacy By Design en Privacy Impact Assessment (PIA). Privacy by Design houdt in dat u al tijdens de ontwikkeling van producten en diensten aandacht besteedt aan privacy verhogende maatregelen. Het houden van PIA’s maakt daar onderdeel van uit. Het stimuleert u om op tijd na te denken over onder meer de impact van het project op de privacy en de risico’s voor de betrokkenen en de organisatie.

10. Neem (misschien) een DPO aan

Is uw organisatie werkzaam in de publieke sector, heeft u bij de dataverwerking ‘regelmatige en stelselmatige observatie’ nodig of verwerkt u persoonsgegevens uit een ‘bijzondere categorie’? Dan bent u verplicht een data protection officer (DPO) aan te nemen. Geen paniek; een fulltime werknemer is niet per se nodig. Een consultant of een interne werknemer die de functie naast zijn bestaande job vervult, voldoet ook.

11. Check uw autoriteiten

Verzamelt u in verschillende landen persoonsgegevens? Ga dan na welke autoriteiten toezicht houden op uw activiteiten. Waar worden de grootste beslissingen genomen inzake de verwerking van persoonsgegevens?

12. Neem bestaande contracten onder de loep

Maakt u gebruik van externe diensten? Bijvoorbeeld van een bedrijf dat voor u persoonsgegevens verwerkt? Dan bent u nog steeds verantwoordelijk voor de naleving van de GDPR. Neem uw bestaande contracten daarom eens onder de loep en pas ze aan waar nodig.

Wilt u uw organisatie GDPR compliant maken? Doe de GDPR scan van Daemen-ICT en u weet precies wat u moet doen. Neem dan vrijblijvend contact met ons op. Wij vertellen u graag meer!