De week voor 25 mei 2018 werd uw mailbox overspoeld met e-mails omtrent privacy. U werd gevraagd om privacyverklaringen goed te keuren, om toestemming te geven voor het verwerken van uw data en het ontvangen van nieuwsbrieven… Intussen is de wet bijna 2 maanden in werking en zijn dergelijke e-mails even snel terug verdwenen als ze zijn gekomen. Betekent dit dat de veranderingen dat de GDPR teweeg brengt helemaal niet zo groot zijn als gedacht?
Absoluut niet.
Hoewel GDPR misschien iets minder aanwezig is in uw mailbox zijn de veranderingen reeds zichtbaar. Nederland heeft al haar overheidsinstanties reeds gecontroleerd op de aanwezigheid van een DPO, Ierland kreeg al meer dan 1300 klachten te verwerken sinds de inwerkingtreding van de GDPR, Orange diende een datalek te melden aan de Gegevensbeschermingsautoriteit en de betrokken klanten en grotere ondernemingen voeren audits uit bij hun (kleinere) dienstverleners die persoonsgegevens voor hen verwerken.
Wie op vandaag nog geen enkele actie ondernomen heeft om de GDPR na te leven riskeert niet alleen een gigantische boete, maar loopt ook het risico te worden geauditeerd door ondernemingen waaraan diensten worden geleverd met contractverlies tot gevolg.
Wanneer uw onderneming nog geen enkele stap gezet heeft om GDPR compliant te zijn heeft u er alle belang bij om hier vandaag nog mee te beginnen. Ondernemingen die reeds de eerste stappen gezet hebben mogen geenszins stilvallen en moeten zich ervan bewust zijn dat de GDPR een verandering in werkwijze met zich meebrengt en geen éénmalig project is.
Is de GDPR op mijn onderneming van toepassing?
De draagwijdte van de GDPR is zodanig breed dat elke onderneming die persoonsgegevens verwerkt in de EU of diensten aanbiedt in de EU onder het toepassingsgebied valt. De grootte van uw onderneming of uw activiteit speelt geen enkele rol. Ook als u enkel B2B-actief bent, valt u onder de GDPR. Elke onderneming die een klantenbestand bijhoudt of personeel in dienst heeft, verwerkt persoonsgegevens en is onderworpen aan de GDPR.
Wat verwacht de GDPR van uw onderneming?
De GDPR heeft als centrale doelstelling het teruggeven van de controle aan het individu. Elk individu heeft het recht om te weten waarvoor zijn persoonsgegevens verzameld worden en wat er met deze gegevens gebeurt. Uw onderneming mag persoonsgegevens niet zomaar meer verwerken. U dient telkens over een duidelijke wettelijke basis te beschikken. ‘Toestemming’ is de meest gekende rechtsgrond, maar een verwerking kan ook noodzakelijk zijn voor de uitvoering van een overeenkomst of kaderen in een wettelijke verplichting die op u rust. Als onderneming moet u zeer duidelijk communiceren waarvoor u persoonsgegevens verwerkt, welke wettelijke grondslag u hiervoor heeft en aan wie deze informatie wordt doorgegeven.
Zeer belangrijk hierbij is dat u als onderneming verantwoordelijk bent voor de data die u bijhoudt van uw klanten en werknemers. Zo ook wanneer u deze data door een derde partij laat verwerken (bijvoorbeeld opslag van uw databank in de cloud, payrolladministratie door uw sociaal secretariaat…). Het is uw verantwoordelijkheid om persoonsgegevens enkel door te geven aan derde ondernemingen die ook de GDPR naleven.
Ons team van specialisten kan u helpen om de hoogstnoodzakelijke en meest dringende elementen in orde te brengen. Zo dient u onder andere te beschikken over een register van verwerkingsactiviteiten, een procedure in geval van een datalek, een privacyverklaring, een intern privacybeleid… Op die manier weet u welke persoonsgegevens u bijhoudt, kan u transparant communiceren naar uw klanten toe en weet u wat u dient te doen indien er zich een datalek voordoet. Daarnaast evalueren wij uw overeenkomsten met externe dienstverleners op het vlak van bescherming van persoonsgegevens.
Laat u bijstaan door ons team van experten zodat u onmiddellijk op de juiste weg bent en geen tijd verliest met het uitzoeken wat u precies dient te doen.
Door: Evelien Callewaert
Business IT Consultant
0 reacties