5 dingen die je nu al kunt doen om voorbereid te zijn op GDPR

GriDD

19 september, 2017

De media staan er vol van: op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. GDPR heeft als doel om de dataprivacy van Europese burgers te beschermen en om de manier waarop bedrijven met dataprivacy omgaan aan te scherpen. Maar wat is GDPR eigenlijk en wat moet je als organisatie doen om aan de regels te voldoen?

Wat is de kern van GDPR?

GDPR beschermt de persoonlijke privacy van burgers door vast te leggen hoe bedrijven met persoonlijke data om moeten gaan. Deze privacywetgeving staat in Nederland ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG). Veel van de GDPR regels gaan daarom over de data rechten van betrokken individuen. Zo schrijft GDPR voor dat:

De betrokkene geïnformeerd moet worden over wat er met zijn persoonsgegevens gebeurt.
Alles in eenvoudige en duidelijke taal gecommuniceerd moet worden.
De betrokkene naast het recht op verzet, inzage en rectificatie, ook het recht heeft om vergeten te worden.
De betrokkene het recht heeft op overdraagbaarheid van zijn data (ook wel: dataportabiliteit),
De betrokkene het recht heeft de verwerking te beperken en het recht bezwaar te maken tegen bepaalde verwerkingen.
De betrokkene ten alle tijde het recht heeft om bezwaar te maken tegen de verwerking van zijn gegevens voor direct marketingdoeleinden. Als de betrokkene een dergelijk bezwaar indient, dan mogen zijn gegevens niet meer voor marketingdoeleinden worden verwerkt.

Consequenties hiervan zijn bijvoorbeeld dat:

Organisaties verplicht zijn alle persoonlijke data versleuteld op te slaan.
Organisaties verplicht zijn tot het bijhouden van een register waarin beschreven is welke verwerkingsactiviteiten op persoonlijke data uitgevoerd worden. Dus ondermeer welke data je waarvoor gebruikt, wie bij het proces betrokken is en in welke systemen de data opgeslagen is.
Organisaties verplicht zijn alle datalekken (intern) te documenteren en, onder bepaalde voorwaarden, binnen 72 uur te rapporteren aan de instanties en getroffen personen.
Organisaties om moeten kunnen gaan met verzoeken van personen die inzage in of correctie van hun persoonlijke gegevens willen.

Geldt GDPR ook voor het MKB?

In principe geldt GDPR voor alle ondernemingen en organisaties, zowel in B2C als in B2B. Hierbij geldt wel dat bedrijven die minder dan 250 personen in dienst hebben vrijgesteld zijn van de verplichting tot het bijhouden van een register van verwerkingsactiviteiten, tenzij:

Het waarschijnlijk is dat de verwerking die het bedrijf verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
De verwerking niet incidenteel is, of
Het om verwerking van data uit de bijzondere categorieën gaat (zie het grijze blok in de figuur verder in deze post) of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.

5 dingen die je vandaag al kunt doen

Weet welke informatie je hebt. Identificeer welke persoonlijke data je hebt en in welke systemen het zit. Hierbij gaat het dus ook om data van de personeelsadminstratie of verzendbestanden voor je nieuwsbrief.
Weet waarom je de informatie hebt. Breng voor alle geīdentificeerde verzamelingen met welk doel je deze data verzamelt, waar deze gegevens vandaan komen en met wie je ze deelt.
Wees voorbereid. Zorg voor maatregelen om lekken van persoonlijke data te voorkomen, te detecteren en, mocht het toch gebeuren, hier effectief op te reageren.
Maak een verwerkersovereenkomst. Voldoen aan de eisen van GDPR betekent ook dat je leveranciers en afnemers op een goede manier omgaan met persoonlijke data die je ze verschaft. Sluit daarom met deze partijen een verwerkersovereenkomst af, waarin je afspraken maakt over de omgang met persoonlijke gegevens.
Weet of je een functionaris voor gegevensverwerking moet aanstellen. Gebruik het onderstaande diagram om direct te bepalen of je bedrijf volgens GPDR een functionaris voor de gegevensverwerking aan moet stellen.