Implementeer de GDPR in 12 stappen

De GDPR is ook op jouw onderneming van toepassing.

Met onderstaand stappenplan en onze bijhorende gebruiksvriendelijke templates implementeer je de GDPR met een minimuminvestering aan tijd en middelen.

Stap 1: Stel een Privacy Policy en Cookie Policy op

Je moet je klanten, websitebezoekers, prospecten, enz. vooraf informeren omtrent hoe je hun gegevens gebruikt en hoe je die gegevens beschermt (art. 12-13 GDPR). Dit doe je via je privacy policy.

Vul de Privacy Policy – template aan. De in de template reeds ingevulde voorbeelden kan je gebruiken, verwijder wat niet van toepassing is.

Zorg daarnaast ook voor een goede cookie policy en “cookiebanner”. Gebruik daarvoor de Cookie Policy – template.

Stap 2: Verwerkingsregister

In je verwerkingsregister houd je bij hoe je persoonsgegevens verwerkt. Je dient dit document actueel te houden: nieuwe verwerkingen neem je er in op (Art. 30 GDPR).

Opgelet, “verwerken” en “persoonsgegevens” worden zeer ruim geïnterpreteerd:

  • ‘Persoonsgegevens’ betekent:
    • alle informatie waarmee je een natuurlijke persoon (dus geen vennootschap) kan identificeren

én

    • alle informatie over identificeerbare personen.

Bijv. iemands naam, contactgegevens, professionele contactgegevens, foto, online accountgegevens, locatiegegevens, geslacht, opgegeven voorkeuren en interesses, aankoopgeschiedenis, enz. zijn persoonsgegevens, zolang je ze kan koppelen aan een persoon.

  • “Verwerken” betekent: verzamelen, opslaan, wijzigen, raadplegen, verspreiden, wissen, enz. Je hoeft dus niets echt te “doen” met die persoonsgegevens. Zodra je er toegang toe hebt, ben je ze aan het verwerken.

Vul de verwerkingsregister-template aan om hieraan te voldoen.

Stap 3: Pas je formulieren, e-mails en nieuwsbrieven aan

Wanneer iemand zich inschrijft om (bijvoorbeeld) je nieuwsbrief (of andere informatieve e-mails) te ontvangen, dan moet je aan een aantal verplichtingen voldoen.

De volgende adviezen leggen je stap voor stap uit hoe je aan deze verplichtingen voldoet en bevatten voorbeeldteksten die je kan overnemen op je website en in je e-mails:

Stap 4: Regel de privacyrechten en -plichten van je werknemers

Je medewerkers en personeel moeten op een veilige manier omgaan met ICT en persoonsgegevens en het belang van privacy begrijpen. Omgekeerd moet jij als werkgever verplichtingen naleven ten aanzien van je personeel en medewerkers.

Die rechten en plichten van je personeel worden geregeld in de ICT-Policy, de Data-Policy en de Werknemers Privacy Policy. Daarbij is ook vereist dat je je arbeidsreglement hieraan aanpast en is het nuttig om enkele vermeldingen in de nieuwe arbeidsovereenkomsten op te nemen.

De volgende adviezen en vooraf ingevulde templates helpen je om deze documenten met een minimum aan inspanning te implementeren:

Deze documenten zijn ook zo opgesteld dat je medewerkers eruit leren wat het belang is van gegevensbescherming en welke aandachtspunten ze moeten toepassen.

Stap 5: Pas je vacatures aan

Een kandidaat die op een vacature reageert, deelt zijn persoonsgegevens met jou als potentiële werkgever. Daarnaast zoek je mogelijk bijkomende informatie op over de kandidaat en maak je een verslag van je gesprek.

Het volgend advies bevat alle informatie (met onmiddellijk te gebruiken voorbeeldteksten) die je in je vacatures en communicatie met sollicitanten dient op te nemen:

Stap 6: Pas je contracten met onderaannemers en opdrachtgevers aan

Bij elke samenwerking met een opdrachtgever, opdrachtnemer, partner, enz. verwerken beide zijden in beperkte mate persoonsgegevens, ook als de eigenlijke opdracht geen rechtstreekse betrekking heeft op de verwerking van persoonsgegevens.

Daarom neem je best een clausule op in je standaardvoorwaarden en -contracten die regelt hoe beide partijen met persoonsgegevens omgaan. Je vindt al wat je nodig hebt in volgend document:

Indien een leverancier gegevens in jouw opdracht verwerkt, dan ben jij als onderneming verantwoordelijk voor deze verwerking en is de leverancier de “verwerker”. Dan moet een verwerkingsovereenkomst afgesloten worden. De verwerkingsovereenkomst bepaalt binnen welke grenzen je leverancier die gegevens moet verwerken (art. 28 GDPR). De consultants die binnen je bedrijf actief zijn, moeten sowieso als verwerker beschouwd worden.

Om hieraan te voldoen, kan je de verwerkersovereenkomst-template gebruiken:

Omgekeerd verwerk jij mogelijk gegevens in opdracht van een klant of opdrachtgever. Dan moet je een verwerkingsovereenkomst afsluiten waarin je klant aangeeft wat je wel en niet mag doen met die gegevens. Daarvoor kan de je volgende template gebruiken:

Stap 7: Zorg voor een goede veiligheid en bescherm je tegen datalekken

Je dient de persoonsgegevens die je verwerkt (en je gehele ICT-omgeving) te beveiligen en organisatorische en technische maatregelen te nemen die de veiligheid, de vertrouwelijkheid en de integriteit ervan waarborgen. (Artikel 32 GDPR)

Met behulp van deze checklist kan je je gegevensveiligheidsbeleid in beeld brengen en waar nodig verbeteren (desgevallend met behulp van je IT-leverancier).

In geval van een datalek dien je mogelijk de betrokkenen en de Gegevensbeschermingsautoriteit te informeren (Artikel 33 GDPR). Wanneer dat precies nodig is en hoe je dat doet, lees je in het volgend advies met bruikbare voorbeeldteksten:

Bovendien moet je de datalekken die zich voordoen bijhouden in een register. Daarvoor kan je de volgende template gebruiken:

Stap 8: Zorg dat je personen toegang tot hun gegevens kan geven

Je moet personen wiens gegevens je verwerkt binnen de 30 dagen kunnen informeren over welke gegevens je van hen verwerkt en in een aantal gevallen een kopie kunnen bezorgen van alle data in jouw bezit die je over die persoon verzameld hebt (Artikelen 15-20 GDPR).

In het volgend advies lees je wat je exact moet bezorgen en staan standaardteksten die je kan gebruiken voor communicatie met personen die hun gegevens willen meenemen:

Stap 9: Moet je een Data Protection Officer (DPO) aanstellen?

De Data Protection Officer (DPO) ziet onder meer toe op de navolging van de GDPR-verplichtingen in de onderneming (art. 39 GDPR ).

Je hebt een DPO nodig, wanneer je kernactiviteiten vereisen dat je:

  • regelmatig en stelselmatig en op grote schaal gebruikers (of het gebruik door hen) van je dienst of product observeert,

of

  • op grote schaal gevoelige persoonsgegevens verwerkt.

Overheidsorganen en -instanties moeten steeds een DPO hebben.

Alle info over de gevallen waarin je een DPO nodig hebt en een functieomschrijving vind je in het advies:

Stap 10: Evalueer risicovolle verwerkingen met een Data Protection Impact Assessment (DPIA)

Wanneer je een nieuwe verwerking van persoonsgegevens wil opstarten of een bestaande aanpast, dan dien je te evalueren of die verwerking een grote impact kan hebben op de privacy van de personen wiens gegevens verwerkt worden. (Art. 35 GDPR)

Zo ja, moet je voorafgaand een “Data Protection Impact Assessment” uitvoeren (afgekort als “DPIA” of, in het Nederlands, een “Gegevensbeschermingseffectbeoordeling”).

In een DPIA evalueer en documenteer je:

  • of de geplande verwerking privacyrisico’s inhoudt,
  • of en hoe de risico’s (voldoende) afgedekt zullen worden.

Meer informatie over wanneer he een DPIA moet uitvoeren en een tool om de DPIA uit te voeren, vind je hier:

Stap 11: Ga na of je gegevens laat verwerken buiten de EER

Persoonsgegevens mogen enkel worden verwerkt buiten de Europese Economische Ruimte (de EER) indien ze daar een voldoende bescherming genieten. (Art. 44 e.v. GDPR).

Aangezien “verwerken” op elke vorm van gebruiken, structureren, analyseren en zelfs louter opslaan doelt, is de kans groot dat je persoonsgegevens verwerkt buiten de EER (bijv. omdat je Dropbox gebruikt als fileshare- of back-up-tool of omdat je nieuwsbrieven verstuurt via Mailchimp aangezien hun datacenters in de Verenigde Staten staan).

Je mag enkel dienstverleners buiten de EU gebruiken die een voldoende bescherming van de persoonsgegevens kunnen garanderen.

Meer informatie over hoe om te gaan met verwerkingen buiten de EU vind je in het advies:

Stap 12: Stel een “verklaring op eer” op voor offertes en aanbestedingen

Na zorgvuldige implementatie op basis van de adviezen, processen en stappenplan kan je onderstaande verklaring op eer toevoegen aan je offertes en inschrijvingen op aanbestedingen:

De onderneming <naam> verklaart op eer te voldoen aan de verplichtingen van de GDPR/ AVG (General Data Protection Regulation / Algemene verordening Gegevensbescherming). In het bijzonder werden volgende acties genomen:

  • Privacy Policy aangemaakt, te consulteren op volgende link: <aan te vullen>
  • Verwerkingsregister werd aangemaakt en wordt up-to-date gehouden met de nieuwe verwerkingen
  • Onze website bevat voormelde Privacy Policy, onze Cookie Policy en alle meldingen en links om betrokkenen correct te informeren wanneer hun gegevens verzameld worden
  • De nodige policy’s en reglementen werden opgesteld en we voorzien regelmatige opleidingen om te zorgen dat onze medewerkers op de hoogte zijn van de privacyregels en persoonsgegevens correct verwerken. Omgekeerd werd ook het nodige gedaan om de rechten van onze (toekomstige) medewerkers onder de privacywetgeving te respecteren
  • Onze contracten en voorwaarden met onze leveranciers en verwerkers werden aangepast om te zorgen dat zij correct omgaan met de gegevens die ze voor ons verwerken
  • Voorzieningen werden genomen voor de organisatorische en technische veiligheid van onze verwerkingen en voor de detectie en melding van datalekken
  • Processen werden opgezet om het uitoefenen door betrokkenen van hun rechten mogelijk te maken (inzage, meeneembaarheid, etc.)
  • Processen werden opgezet om verwerkingen van persoonsgegevens te herkennen, persoonsgegevens niet langer te bewaren dan nodig, niet meer persoonsgegevens te verzamelen dan nodig, personen wiens gegevens verwerkt worden correct te informeren, enz.
  • We voorzien op regelmatige basis evaluatiemomenten om na te gaan of alle principes nog correct toegepast worden.

Bovenstaande acties werden genomen gebaseerd op de adviezen en templates van een advocaat gespecialiseerd in de privacywetgeving (via http://myprivacyspecialist.com).

Implementeer de GDPR – Conclusie

Met behulp van bovenstaand GDPR-stappenplan en de bijhorende templates word je snel en voor een laag bedrag GDPR-compliant. Dit stappenplan, de templates en de adviezen werden opgesteld door specialist Brahim Bénichou. Als ervaren privacy-advocaat voor zowel grote als kleine bedrijven, staat hij in voor de kwaliteit van deze stappenplannen, adviezen en templates.

Door deze werkwijze vermijd je dat je als onderneming een veelvoud moet betalen aan consultants of advocaten om GDPR-compliant te worden. Of dat je de privacywetgeving zelf helemaal moet uitpluizen om eraan te voldoen.

Na afwerken van het stappenplan kan je een verklaring op eer toevoegen aan je offertes in inschrijvingen op aanbestedingen.