11 juli 2017

Ben jij al klaar voor de GDPR?

Het is een belangrijk onderwerp binnen veel organisaties; de GDPR. Vanaf 25 mei 2018 geldt dezelfde privacywetgeving in de hele Europese Unie en moeten organisaties aan de nieuwe regelgeving voldoen. Maar is jouw organisatie hier al klaar voor? Wij geven je graag 6 tips om je hiervoor klaar te stomen.

GDPR

Je gebruikt vast een softwaresysteem waarin je gegevens vastlegt over andere personen. De nieuwe EU General Data Protection Regulations (GDPR) die in 2018 van kracht worden, gelden daarmee ook voor jouw organisatie. Ieder land in de EU implementeert deze in haar eigen wetgeving. In Nederland is deze regelgeving bekend als de Algemene Verordening Gegevens Bescherming (AvG).

1. Breng de gegevensverwerking in kaart

Onder de nieuwe regels ben je verplicht in kaart te brengen welke persoonsgegevens je verwerkt, met welk doel je dit doet, met wie je ze deelt en hoe je ervoor zorgt dat je in lijn met de regelgeving handelt. Ook is het in sommige gevallen noodzakelijk een privacy impact assessment te doen.

2. Toestemming vragen voor gebruik van gegevens 

Vaak zet je software in om je collega’s of klanten te ondersteunen. Toestemming vragen voor vastlegging van persoonsgegevens is niet altijd noodzakelijk. Bijvoorbeeld zolang de gegevens die vastgelegd worden, beperkt zijn tot wat noodzakelijk is voor de uitvoering van de aangegane overeenkomst. In andere gevallen moet je toestemming vragen. Om te achterhalen wat voor jou van toepassing is, kunt u de AvG erop naslaan.

3. Recht tot inzage, correctie en/of verwijderen

Er wordt van jou als registrerende partij verwacht dat je transparant bent over wat je vastlegt over iemand. De betrokkene mag je vragen niet-kloppende gegevens te corrigeren. Of zelfs alles te verwijderen. Wees hierop voorbereid en licht bijvoorbeeld jouw support afdeling in hoe ze met dergelijke verzoeken om moeten gaan.

4. Sluit bewerkersovereenkomsten met (cloud)leveranciers

Gebruikt je SaaS-software om persoonsgegevens te verwerken? Zorg dan dat je als verwerkingsverantwoordelijke, in het Engels ‘controller’ genoemd, een bewerkersovereenkomst/verwerkersovereenkomst (dubbele benaming voor hetzelfde document) sluit met jouw leveranciers, de zogenaamde verwerker, in het Engels ‘processor’. Hierin worden duidelijke afspraken gemaakt over ieders rol in de verwerking van persoonsgegevens. Bijvoorbeeld over geheimhouding en hoe ieder handelt in geval van datalekken.

De invulling van deze afspraken zijn afhankelijk van de geleverde dienst. Daarom is het verstandig de leverancier te vragen of zij hiervoor een modelovereenkomst hebben. Dat is gelijk een goede toets van in hoeverre jouw leverancier al voorbereid is. 

5. Richt een security incident-proces in

Voorkom stress door vooraf te bedenken hoe je handelt als er een veiligheidsrisico optreedt. Zo moet je als verwerkingsverantwoordelijke in sommige situaties een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Of zelfs bij de persoon wiens data gelekt is. Bepaal daarom vooraf een workflow voor security-incidenten, waarin de juiste personen tijdig een beslissing kunnen nemen over de te volgen acties.

6. Aanwijzen Functionaris Gegevensbescherming

In specifieke situaties is een organisatie vanaf volgend jaar verplicht een Functionaris Gegevensbescherming te benoemen. Voor veel organisaties zal deze verplichting niet gelden. Toch is het verstandig om iemand beschikbaar te hebben die op de hoogte is van wat er speelt. Bijvoorbeeld door de website 'Autoriteit persoonsgegevens' in de gaten te houden en webinars over dit onderwerp te volgen. Dit helpt voorkomen dat er fouten worden gemaakt die mogelijk reputatieschade en zelfs hoge boetes tot gevolg hebben.

Denk je dat deze zes tips handig zijn voor een van jouw collega's? Deel dan dit blog!

Deel dit met mijn collega

Comments