7 tips om uw onderneming GDPR-proof te maken.
De General Data Protection Regulation wordt meestal kortweg de ‘GDPR’ genoemd of in het Nederlands de ‘Algemene Verordening Gegevensbescherming’ (ook wel de ‘AVG’). De AVG legt de regels vast in verband met de verwerking van persoonsgegevens. Op vandaag ontsnapt bijna geen enkele kmo aan de impact van de GDPR, daarom worden hieronder alvast enkele tips gegeven om uw onderneming ‘GDPR-proof’ te maken.
1 – Breng de data flows binnen uw onderneming in kaart
Weet u welke persoonsgegevens er binnen uw onderneming worden verwerkt? Waar komen de gegevens vandaan? Met wie worden de gegevens gedeeld? De eerste stap naar een GDPR-proof onderneming is achterhalen welke verwerkingen er binnen de onderneming plaatsvinden. Het is daarbij vooral van belang om te weten voor welk doel u deze gegevens verwerkt. U mag immers enkel de gegevens verwerken die noodzakelijk zijn om dit doel te verwezenlijken.
2 – Wees transparant
De betrokkene (dit is de persoon op wie de verwerkte gegevens betrekking hebben) heeft recht op informatie over de verwerking van zijn of haar gegevens. Deze informatie moet op een eenvoudige, toegankelijke, begrijpelijke en duidelijke manier worden overgebracht. Bepaalde informatie moet volgens de AVG verplicht worden verstrekt. Het gaat, bijvoorbeeld, om het doel van de verwerking en de rechtsgrond waarop deze verwerking is gebaseerd. U kunt deze informatie opnemen in uw privacyverklaring.
3 - Vraag toestemming
Vraag, waar nodig, toestemming aan de betrokkene om zijn of haar gegevens te mogen verwerken. Denk eraan dat een stilzwijgende toestemming of een vooraf aangevinkt vakje geen geldige toestemming uitmaken. De toestemming moet vrij, ondubbelzinnig, specifiek en geïnformeerd worden gegeven.
4 – Voorzie in een intern gegevensbeschermingsbeleid
Het is van belang om uw personeel op de hoogte te brengen van de risico’s die gepaard gaan met de verwerking van persoonsgegevens en hen aan te sporen om op een verantwoorde wijze om te gaan met gegevens van betrokkenen. Zo kunt u maximaal vermijden dat een menselijke fout aan de basis zou liggen van een datalek.
5 – Maak een procedure voor datalekken op
Ontstaat er toch een datalek? Zorg dan dat u bent voorbereid. Dit doet u door vooraf reeds een procedure voor datalekken op te maken, waarin de te nemen stappen in geval van een datalek duidelijk worden uiteengezet.
6 – Stel, zo nodig, een DPO aan
De afkorting DPO staat voor Data Protection Officer, in het Nederlands ook wel functionaris voor de gegevensbescherming genoemd. De DPO speelt een sleutelrol in het gegevensbeschermingsbeleid van uw organisatie. Sommige ondernemingen zijn verplicht om een DPO aan te stellen. Bepaal dus zeker of uw onderneming onder die verplichting valt en welke persoon voor deze positie geschikt is. Een DPO kan immers zowel een intern als een extern statuut hebben. Wist u trouwens dat u een beroep kunt doen op een KMO Legal Expert als externe DPO? Meer informatie daarover vindt u op deze link.
7 – Begin liever vandaag dan morgen
Anno 2022 is het geen optie meer om de reglementering inzake gegevensbescherming te negeren. Om eventuele boetes te vermijden is het dan ook ten sterkste aanbevolen om zo snel mogelijk het gegevensbeschermingsbeleid van uw onderneming op punt te stellen.
Wil je een beroep doen op KMO Legal om je op juridisch vlak te ontzorgen?
Neem dan vrijblijvend contact op met onze KMO Legal Experts via: info@kmo-legal.be