article banner
Legal

GDPR-tijdperk – tienstappenplan inzake data privacy

Sarah De Ridder Sarah De Ridder

In mei 2018 werd het startschot gegeven voor de invoering van de data privacy-wetgeving (GDPR - General Data Protection Regulation). Dankzij het ruime aanbod van workshops en trainingssessies konden we allen goed voorbereid aan een nieuw tijdperk beginnen.

Sinds de invoering van deze mijlpaal is de privacywetgeving niet meer weg te denken uit het dagelijks leven. Sterker nog, de toenemende aandacht en vraagstelling rond GDPR heeft een bijkomende controledimensie op gang gebracht binnen de bedrijfswereld. Daar waar privacyrisico’s voorheen werden ingedekt door een confidentialiteitsclausule in overeenkomst met derde partijen, is er nu nood aan een gestructureerde aanpak om privacyrisico’s en controles op elkaar af te stemmen.

Wij brengen voor u nog eens de belangrijkste punten van een goed GDPR-beleid in kaart.

Organisatie en beleid inzake uw ‘data protection’

Elke organisatie is verplicht om de nodige beveiligingsmaatregelen te nemen. Hoe gevoeliger de gegevens, hoe meer gegevens en hoe meer betrokkenen, hoe strenger de beveiligingsmaatregelen moeten zijn. Deze verplichting dwingt organisaties om na te denken over de risico’s die verbonden zijn aan de verwerking van persoonsgegevens en om de beveiligingsmaatregelen die zij nemen, daaraan aan te passen.

Hoewel een ‘code of conduct’ geen vereiste is binnen GDPR, is dit toch een zeer nuttig intern communicatie-instrument. Dit document vertaalt het beleid in duidelijke richtlijnen, die medewerkers moeten volgen in het kader van de verwerking van persoonsgegevens. Het document laat u toe de medewerkers op een duidelijke manier te informeren.

Register van verwerkingsactiviteiten

Breng in kaart over welke persoonsgegevens uw bedrijf beschikt en waar deze gegevens worden opgeslagen en gedeeld. Deze informatie wordt gebundeld in een register van verwerkingsactiviteiten. 

De volgende elementen dienen minimaal te worden opgenomen:

  • Wie verwerkt? De verwerkingsverantwoordelijke of de verwerker?
  • Waarom worden gegevens verwerkt? De verwerkingsdoeleinden moeten gedetailleerd omschreven worden.
  • Wat wordt verwerkt? Het betreft hier een overzicht van persoonsgegevens die worden verwerkt.
  • Waar worden deze gegevens bewaard? En met wie worden deze gegevens gedeeld?
  • Hoe lang worden deze gegevens bewaard?
  • Hoe worden deze gegevens beveiligd?

Incident response plan

Een datalek komt altijd onverwacht. Het is belangrijk om op voorhand een procedure te ontwikkelen voor de efficiënte behandeling van datalekken. Deze procedure is erop gericht snel en gepast te kunnen handelen in geval van datalekken.

Een ‘incident response plan’ omvat volgende zaken:

  • Breng de activiteiten en de middelen die u wenst te beschermen en de mogelijke bedreigingen, in kaart.
  • Ga na met welke schade uw onderneming rekening moet houden: zowel de schade die uw onderneming zelf kan lijden (het stilvallen van activiteiten, het verlies van informatie, reputatie, …) als de schade die derden kunnen oplopen (aansprakelijkheden) is hier van belang.
  • Ga na of er een meldplicht op uw onderneming rust. 
  • Bereid een communicatiestrategie voor, zowel naar interne belanghebbenden als naar klanten, leveranciers en andere externe partners.

Zoals iedereen weet: een goed plan is een uitgetest plan! Regelmatig herevalueren en actualiseren van de administratieve documenten (verwerkingsregister, etc.) is dus de boodschap.

Accountability

Elke organisatie die als verwerkingsverantwoordelijke optreedt, moet haar beslissingen in verband met de verwerking van persoonsgegevens verantwoorden en documenteren. Wanneer beslissingen in verband met de verwerking van persoonsgegevens genomen worden, is het dan ook aangewezen om deze te noteren, te motiveren en te bewaren in een gecentraliseerd bestand, zodat deze beslissingen tijdens een eventuele audit op eerste verzoek kunnen worden getoond.

Contractbeheer

Controleer alle lopende overeenkomsten. Informeer naar de nodige aanpassingen in de bestaande contracten en zorg ervoor dat dienstverleners waar uw organisatie mee samenwerkt, kunnen aantonen dat zij conform GDPR handelen. Dit dient in een schriftelijk contract gegarandeerd te worden. Sluit met alle betrokken partijen een verwerkersovereenkomst, met afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen, enz.

Transparantie

Een duidelijke en transparante communicatie over uw privacybeleid zal op een positieve wijze bijdragen aan uw geloofwaardigheid. Vanuit de GDPR-regelgeving wordt aangestuurd op communicatie in een beknopte, begrijpbare en duidelijke taal. Het moment dus om uw bestaande privacyverklaring kritisch te analyseren en waar nodig te herschrijven.

Bewustzijn en opleiding

Medewerkers moeten worden geïnformeerd rond data privacy topics. Hiervoor kunnen diverse kanalen worden ingeschakeld: het organiseren van afdelingsgerichte informatiesessies, het communiceren onder de vorm van ‘tips & tricks’ en het sensibiliseren door middel van phishing campagnes. 

Een verplichte basistraining aan alle medewerkers is geen overbodige luxe en wordt bij voorkeur gecoördineerd vanuit de personeelsafdeling. Het opnemen van deze basistraining in het on-boarding-pack garandeert dat alle nieuwkomers bij de start worden geïnformeerd over de risico’s en het ingevoerde privacybeleid.

 

Onze adviseurs helpen u met plezier op weg naar een veilig en goed privacybeleid.