De digitalisering en informatisering hebben het verzamelen en analyseren van data sterk vereenvoudigd. Data vervullen dan ook een steeds belangrijkere rol in de bedrijfsvoering. Wanneer data persoonsgegevens bevatten, dient men erover te waken dat het verzamelen en verwerken van deze data op een zorgvuldige wijze gebeurt. Sinds mei 2018 mag deze zorgvuldigheid niet langer worden beschouwd als een na te streven ideaal, maar vormt zij een plicht.
Wat is GDPR?
Op 14 april 2016 keurde het Europees Parlement een Verordening goed met betrekking tot de bescherming van persoonsgegevens, de zogenaamde ‘General Data Protection Regulation’ (GDPR), in het Nederlands de ‘Algemene Verordening Gegevensbescherming’ (AVG). Deze Verordening geldt in alle lidstaten en kent een grote impact omdat zij niet louter verplichtingen oplegt, maar het vervullen van deze verplichtingen daarenboven ook afdwingbaar maakt door middel van, mogelijk verregaande sancties (geldboete tot 20 miljoen EUR of 4 procent van jaarlijkse wereldwijde omzet), die door een toezichthoudende overheid opgelegd kunnen worden.
Over welke gegevens gaat het?
Deze Verordening bevat verplichtingen met betrekking tot het verwerken van persoonsgegevens. Het verwerken van persoonsgegevens kent een zeer uitgebreide invulling, zij omvat onder meer het verzamelen, vastleggen, ordenen, opslaan, bijwerken van gegevens van natuurlijke personen, zoals bijvoorbeeld personeel, klanten of toekomstige klanten.
De verplichtingen die de Verordening oplegt situeren zich op IT-niveau en op een juridisch niveau. Zij zijn niet voor elke organisatie even ingrijpend. In de meeste verregaande situatie zal u een functionaris voor de gegevensbescherming moeten aanstellen. Andere mogelijke verplichtingen bestaan in het bijhouden van een register van de door u verrichtte verwerkingsactiviteiten en het uitwerken van een te volgen procedure bij een data-lek.
Te ondernemen stappen
Het is voor uw organisatie dus belangrijk om in eerste instantie de verplichtingen te identificeren en daarenboven de wijze van concrete invulling van deze verplichtingen te bepalen. Met betrekking tot beide acties kunnen wij u bijstaan.
Te ondernemen stappen:
- Creëren van bewustwording inzake GDPR binnen uw organisatie
- In kaart brengen van de persoonsgegevens die je organisatie verwerkt
- Op punt stellen Privacy beleid en indien nodig in lijn brengen met de GDPR
- Opzetten en optimaliseren van procedures inzake gegevensbewaring, gegevenstoegang en gegevensuitwisseling
- Bieden van juridische omkadering inzake de verwerking van de persoonsgegevens
- Uitwerken van procedures rond toestemming van de verwerking van de persoonsgegevens
- Opzetten van procedures in kader van data inbreuken
- Beoordelen van impact data inbreuken
- Begeleiden bij de aanstelling van een Data Protectie Verantwoordelijke