Voldoet jouw bedrijf al aan de GDPR?

 

Als de kop van dit artikel je alleen maar meer vraagtekens oplevert, is de kans groot dat je organisatie nog niet voldoet aan de Europese GDPR-wetgeving. Laat ons eerst duiden waar deze afkoring voor staat. GDPR staat voor ‘Global Data Protection Regulation’. Wellicht dat dit al enige duidelijkheid zal verschaffen. In het kort gezegd voorziet deze wet erop dat de bescherming van persoonsgegevens wordt gewaarborgd. Deze verordening verplicht bedrijven ertoe om persoonlijke gegevens op de juiste wijze vast te leggen en te beheren. Ook het anonimiseren van de gegevens is ter verantwoording van de organisatie. Op deze manier hebben consumenten en klanten meer en makkelijker inzicht in hun eigen data die je als bedrijf bijhoudt. Naast deze makkelijke inzage heeft de consument ook het recht zijn of haar gegevens te laten verwijderen.
Je ziet dat dit een hoop gevolgen kan hebben binnen uw organisatie.

Verduidelijking
Waar bedrijven binnen de EU vroeger per land andere regelgeving hadden omtrent de bescherming van persoonsgegevens, is er nu één verordening die daarin voorziet. De impact van de GDPR is groot, maar een voordeel is dus dat de verordening in alle landen van de EU hetzelfde is waardoor het reëler is om de verordening goed te implementeren in je organisatie.

Neem de GDPR serieus
De GDPR wordt omschreven als een zogeheten bindende richtlijn. Je kan als ondernemer denken dat je niets moet doen, maar dit kan grote gevolgen hebben. Bedrijven die zich niet houden aan de maatregelen die de GDPR omvat, kunnen boetes krijgen die oplopen tot 20 miljoen euro of 4% van de jaaromzet. Je kan dus wel denken dat dit voor jouw organisatie niet van toepassing is of dat je organisatie goed rekening houdt met de bescherming van persoonsgevoelige data. Gezien de eventuele sancties doe je er goed aan om deze regelgeving goed in te bedden in je organisatie.

Wat moet je doen
We kunnen moeilijk in dit artikel de gehele GPDR uitgebreid behandelen, toch kunnen we een aantal tips geven waarmee je al een stap in de juiste richting kunt zetten.

1             Op de hoogte brengen
Zorg ervoor dat de medewerkers binnen je organisatie goed op de hoogte worden gebracht van de nieuwe regels omtrent de privacy zodat zij hier rekening mee kunnen houden in hun werkzaamheden.

2            Uitvoerbaarheid
Implementeer de rechten van de consument goed in je organisatie zodat je adequaat kan handelen wanneer mensen zich hierop beroepen.

3            Breng je data in kaart
Het is belangrijk dat je goed in kaart gaat brengen waar er binnen je organisatie data zijn die vallen onder de GDPR, zodat je deze inzichtelijk kan maken. Belangrijk is om aan te geven welk doel deze data hebben, waar ze worden opgeslagen en wie er allemaal toegang hebben tot deze data.

4            Toekomstgericht
Als je nieuwe producten of diensten ontwikkelt, zorg er dan voor dat deze goed te implementeren zijn met de voorwaarden die de GDPR vereist.

5            Meldingsplicht datalekken
Zorg dat je eventuele datalekken goed monitort, want je bent verplicht om deze in het kader van de GDPR te melden aan de autoriteit die in je land in staat voor de bescherming van persoonsgegevens.

6            PIA
Je bent verplicht om een Privacy Impact Assessment (PIA) te maken. Dit komt erop neer dat je vooraf in kaart moet brengen waar de risico’s liggen wat betreft de gegevensverwerking binnen je organisatie.

7            Overeenkomsten met externe partijen
Controleer of zorg voor zogeheten bewerkingsovereenkomsten met organisaties die persoonsgegevens voor jou verwerken. Als je al een dergelijke overeenkomst hebt, dan doe je er goed aan om te kijken of deze nog voldoet aan de maatregelen van de GDPR.

8            Functionaris aanstellen
Stel iemand aan binnen je organisatie als ‘functionaris voor gegevensbescherming’. Naast dat er op deze manier een persoon is die het geheel in de gaten houdt en eventueel gepast kan handelen, stelt de GDPR bedrijven met meer dan 50 fte ook verplicht om een dergelijke functionaris binnen een bedrijf aan te stellen.

9            Eén leidende toezichthouder
Wanneer je in meerdere landen actief bent binnen de EU, moet je een zogeheten ‘leidende toezichthouder’ bepalen. Dit is dan het toezichtsorgaan waarmee je zaken moet doen die te maken hebben met de GDPR.

10            Klantenovereenkomsten
Je klanten dienen toestemming te geven voor het gebruik van hun persoonsgegevens ten behoeve van uw organisatie. Het is van belang dat deze overeenkomst voldoet aan de eisen die de GDPR daartoe stelt.

Je ziet dat de GDPR ingrijpend kan zijn voor je organisatie. Alle ondernemingen zullen hier in meer of mindere mate mee te maken krijgen. In dit artikel hebben we slechts een beeld geschetst van alles wat er verandert en geïmplementeerd moet worden. Uiteraard is dit slechts een indruk. Je doet er goed aan om de wetteksten en aanvullende documentatie te bestuderen. Deze verordening zal vanaf mei 2018 van kracht zijn. Je hebt dus nog even de tijd om de zaken goed op orde te krijgen.