Persoonsgegevens worden volgens de GDPR omschreven als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Het gaat hier dus om alle gegevens waarmee een persoon kan worden herkend, denk maar aan een iemands IP-adres, e-mail, naam of woonplaats. Ook persoonlijke informatie over uw werknemers of bedrijfscontacten worden als persoonsgegevens gezien.

STAP 2: Maak een register van verwerkingsactiviteiten op

Het register van verwerkingsactiviteiten kan als de basis van elk GDPR-beleid worden gezien. Het is dan ook onmisbaar wanneer u GDPR-compliant wilt zijn. Bovendien moet uw bedrijf steeds voldoen aan vijf vuistregels en de daarbij horende verantwoordingsplicht. De vuistregels zijn (1) doelbinding, (2) juistheid, (3) transparantie, (4) gegevensminimalisatie en opslagbeperking, en (5) integriteit en vertrouwelijkheid. Hieraan kan alleen voldaan worden met een register van verwerkingsactiviteiten.

STAP 3: Communiceer en zorg dat de betrokkene zijn rechten kan uitoefenen

Maak een privacyverklaring op waarin transparant wordt weergegeven welke gegevens er verwerkt worden en waarom. Geef ook aan welke rechten de betrokkene, of de persoon van wie u gegevens verzamelt, kan uitoefenen. Vergeet ook zeker uw cookie-statement en -verklaring niet.

STAP 4: Bepaal de wettelijke grondslag van de verwerkingsactiviteiten

Als bedrijf mag u enkel persoonsgegevens verwerken wanneer u aan één van de volgende verwerkingsgronden voldoet:

• Toestemming
• Overeenkomst
• Wettelijke verplichting
• Vitaal belang
• Algemeen belang / Openbaar gezag
• Gerechtvaardigd belang

STAP 5: Zorg dat er, indien vereist, een expliciete toestemming is

Volgens de GDPR moet de toestemming van een betrokkene steeds het gevolg zijn van een duidelijke actieve handeling, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Bovendien moet de betrokkene zijn toestemming ook weer eenvoudig kunnen intrekken.

STAP 6: Neem de nodige veiligheidsmaatregelen en meld datalekken tijdig

Het is belangrijk dat u de nodige veiligheidsmaatregelen treft om de persoonsgegevens te beschermen. De Gegevensbeschermingsautoriteit (GBA) publiceerde hierover dan ook bepaalde richtlijnen. Mocht er toch een gegevenslek plaatsvinden, dan moet u dit zo snel mogelijk melden bij de bevoegde autoriteit.

STAP 7: Bouw van bij de start gegevensbescherming in (DPIA)

Zorg ervoor dat u van bij de beginfase van een verwerkingsactiviteit gegevensbescherming inbouwt. Ga steeds uit van een “risked based approach” en doe wanneer nodig een Data Protection Impact Assessment (DPIA), ook wel gekend als effectenboordeling.

STAP 8: Stel indien nodig een DPO aan

Stel een data protection officer (DPO) of functionaris van de gegevensbescherming aan wanneer dit wettelijk vereist is. Indien dit niet bij wet vereist is, raden we u toch aan om een verantwoordelijke aan te duiden die zich over de gegevensbescherming van de persoonsgegevens ontfermt.

STAP 9: Hou rekening met de internationale uitwisseling van persoonsgegevens

Bent u ook internationaal actief? Zorg dan voor de nodige waarborgen wanneer u gegevens doorgeeft aan derde landen.

STAP 10: Maak een verwerkersovereenkomst op

Wanneer gegevens door een andere entiteit worden verwerkt, dan is het belangrijk om een verwerkersovereenkomst op te maken. Hierin moet duidelijk worden omschreven wie waarvoor verantwoordelijk is. Zowat elk contract dat u afsluit met leveranciers, onderaannemers, partners of klanten moet een GDPR-clausule bevatten.

Niet zeker of uw bedrijf GDPR-compliant is of weet u niet goed hoe u de nodige policies, clausules, databeveiliging of andere zaken moet implementeren? Neem dan contact op met een van onze specialisten via contact@vdl.be.