Bereid u voor de op de nieuwe GDRP-wetgeving in dertien stappen. We baseerden ons op de informatie van de Privacy-commissie.

1. Informeer.

Breng de belangrijkste personen in uw bedrijf op de hoogte van de naderende veranderingen. Ze kunnen het best de impact van de GDPR-wetgeving inschatten en brengen zo eventuele pijnpunten in kaart. Vergeet ook uw medewerkers niet: informeer hen op tijd.

2. Maak een overzicht.

U moet altijd kunnen bewijzen of u in overeenstemming met de nieuwe GDPR-wet bent. Breng daarom in kaart:

- Welke persoonsgegevens u bijhoudt.

- Waar ze vandaan komen.

- Met wie u ze deelt.

Denk bijvoorbeeld aan:

- Persoonlijke gegevens van sollicitanten of medewerkers.

- Badges of vingerafdrukken om aanwezigheden te registreren.

- Loonadministratie.

- Videobeelden.

- Gepubliceerde foto’s.

Moeite om alles in kaart te brengen? Baseer u dan op het model voor een “register van de verwerkingactiviteiten”.

3. Evalueer.

Hou uw bestaande privacy-verklaring tegen het licht. Voldoet ze nog nog aan de GDPR-regelgeving? Want de GDPR (AVG) vereist aanvullende info zoals:

- Hoe lang u de informatie bijhoudt?

- Of u de gegevens buiten de EU uitwisselt.

- In welke klachtenprocedure u voorziet bij de Privacy-commissie als persoonsgegevens fout worden verwerkt.

Pas uw verklaring indien nodig aan. Hou het beknopt en spreek heldere taal.

4. Check of u de rechten van alle gebruikers respecteert.

Bekijk hoe het zit met de huidige procedures in uw bedrijf. Komen ze tegemoet aan alle rechten van uw gebruikers? Onthoud dat die hun gegevens altijd mogen inzien en verbeteren. En zich mogen verzetten tegen het gebruik ervan.

Besteed ook aandacht aan de manier waarop:

- U persoonsgegevens verwijdert.

- Uw bedrijf gegevens elektronisch meedeelt.

5. Kijk uw toegangsprocedures na.

Check hoe u en uw medewerkers toegang krijgen tot personeelsgegevens. Hou zeker rekening met de verwerking van toegangsverzoeken - gebruikers die hun gegevens willen inkijken. Om aan de GDPR-regelgeving te voldoen, moet u die binnen de 30 dagen beantwoorden, in plaats van binnen de 45.

6. Documenteer hoe u met de wet omgaat.

Zet alle types gegevensverwerking die u uitvoert op papier. Verduidelijk waarom het wettelijk is dat u de gegevens verwerkt. Bijvoorbeeld: u vraagt een bankrekeningnummer omdat u daarop het loon laat storten.

7. Ga na hoe u met toestemmingen omgaat.

U hebt een akkoord om persoonsgegevens te gebruiken. Kijk na hoe u die:

- Vraagt.

- Krijgt.

- Registreert.

Kreeg u toestemming voor de verwerking van persoonsgegevens? Dan moet u dat ook kunnen bewijzen. Let op: vooraf ingevuld vinkjes als toestemming zijn voortaan uit den boze. Stuur bij waar nodig.

8. Check hoe u gegevens van kinderen behandelt.

Nieuwigheid in de GDPR-wetgeving: speciale bescherming van de persoonsgegevens van kinderen. Helemaal in orde zijn? Ontwikkel dan systemen die de leeftijd van de gebruikers nagaan.

Verzamelt u gegevens van kinderen jonger dan zestien, bijvoorbeeld voor vakantiejobs of weekendwerk? Dan hebt u toestemming van een ouder of voogd nodig om hun gegevens te verwerken. Let er op dat ook in dat geval de toestemming controleerbaar moet zijn.

9. Werk uw procedures voor datalekken bij..

Wat doet u bij een datalek? Bereid nu al procedures voor om lekken van persoonlijke data op te sporen, te rapporteren of te onderzoeken. U hoeft van de GDPR-wetgeving niet alle datalekken te melden, maar wel diegene waardoor de betrokkene schade ondervindt.

10. Leer bij.

Maak u vertrouwd met:

- Gegevensbescherming door ontwerp (privacy by design).

- Gegevensbeschermingseffectbeoordeling (Privacy Impact Assessment - PIA).

Ga na hoe u die concepten in uw organisatie zult toepassen en in welke situaties u de analyses uitvoert.

11. Duid een functionaris voor gegevensbescherming aan.

Echt de vinger aan de pols houden? Duid een functionaris voor gegevensbescherming aan. Of toch iemand die nagaat of u de databeschermingsregels naleeft. Leg meteen vast hoe die nieuwe functie in uw bedrijf past.

Sommige bedrijven zijn verplicht om zo iemand aan te stellen. Kijk na of dat ook voor uw onderneming het geval is.

12. Kijk over de grenzen heen.

Bent u internationaal actief? Kijk dan nog na welke autoriteit daar toezicht houdt op de behandeling van persoonsgegevens. Stuur bij waar nodig.

13. Beoordeel bestaande contracten.

Kijk na of uw samenwerkingscontracten beantwoorden aan de GDPR-wetgeving. Check of er aanpassingen nodig zijn en voer die op tijd door. Dat geldt vooral voor verwerkers en onderaannemers.

(Bovenstaande bijdrage kwam tot stand in samenwerking met t-interim, onderdeel van t-groep (Mechelen))

Meer info: www.t-groep.be.