MENU

GDPR CHECKLIST:

10 ACTIES DIE U MOET NEMEN OM AAN DE GDPR TE VOLDOEN

Disclaimer: Orangeline kan niet garanderen dat een bedrijf volledig aan de GDPR voldoet na het nemen van deze acties. Orangeline biedt alleen tips en advies over de GDPR. Deze informatie wordt omwille van informatiedoeleinden verstrekt en mag niet gezien worden als juridisch advies of gebruikt worden om te bepalen hoe de GDPR van toepassing zou zijn op uw organisatie.

1. Voer interne audits uit om in kaart te brengen hoe uw bedrijf met data omgaat en ga na wat u nog moet aanpassen om te voldoen aan de nieuwe regelgeving. Analyseer ook je juridische documenten om ze daarna volgens de nieuwe wetgeving aan te passen.

2. Krijg expliciete toestemming om gegevens te verwerken: ga na hoe u op dit moment toestemming vraagt. Zorg ervoor dat die toestemming vernieuwd wordt als deze niet voldoet aan de GDPR-standaard. Benieuwd hoe u om die toestemming kan vragen? Bel Orangeline om dit te bespreken.

3. Communiceer met klanten over hoe en waarom u gegevens verzamelt. Vertel hen daarbij hoe lang u van plan bent deze data op te slaan via een privacyverklaring*. Bereid u hierop voor met behulp van een informatie-audit en breng in kaart welke gegevens u verzamelt, waar deze vandaan komen en met wie u ze deelt. Breng ook uw medewerkers daarvan op de hoogte en werk documenten en procedures voor intern gebruik bij: bijvoorbeeld social media en internetbeleid, arbeidsovereenkomsten en ga zo maar door.

4. Train uw medewerkers en creëer bewustzijn met behulp van informatiesessies die hen de impact van de GDPR helpen begrijpen.

5. Bewijs dat u aan de regelgeving voldoet: identificeer een wettelijke basis voor uw verwerkingsactiviteiten binnen de GDPR, documenteer uw procedures en werk uw privacyverklaring bij om ze uit te leggen. Pas bijvoorbeeld uw Algemene voorwaarden en/of overeenkomst met uw klanten aan. Sluit bovendien ook een overeenkomst voor dataverwerking met gegevensverwerkers en (indien nodig) sub-verwerkers.

6. Zorg voor een systeem om persoonsgegevens te verwijderen zodra de wettelijke bewaartermijn verstrijkt of wanneer betrokkenen hun toestemming intrekken.

7. Ontwerp een duidelijk crisismanagementplan om een datalek te detecteren, te rapporteren en te onderzoeken, deze binnen een bepaald tijdsbestek te melden - afhankelijk van het type incident of overtreding. Bij de AP checkt u wanneer u een datalek moet melden.

8. Stel toegangsprocedures op of werk ze bij. Zo mogen servers bijvoorbeeld niet langer toegankelijk zijn voor mensen die niet over de juiste inloggegevens beschikken. Ze kunnen echter op verzoek wel toegang krijgen tot hun eigen gegevens.

9. Bescherm gegevens van kinderen jonger dan zestien jaar. Zij hebben de toestemming van een ouder of wettelijk voogd nodig. Elk EU-land is wel toegestaan om het leeftijdsniveau te verlagen naar dertien - Frankrijk en België bijvoorbeeld hebben hiervoor gekozen.

10. Stel een functionaris aan voor gegevensbescherming (data protection officer of DPO) om toezicht te houden op uw strategie. Hoewel het niet voor elk bedrijf verplicht is, beveelt de EU dit wel aan. Een DPO kan een externe consultant zijn, maar ook een interne medewerker die deze rol op zich neemt.

*Een privacyverklaring moet op zijn minst verwijzen naar de GDPR en bevat informatie over welke persoonlijke gegevens worden verzameld, hoe deze worden verzameld, het doel van de verwerking, de bewaringstermijn van gegevens, de rechten van de betrokkene, uw klachtenprocedure, het proces voor gegevensoverdracht naar derden etc.