Praktische informatie om GDPR-compliant te zijn als bedrijf

Het beschermen van persoonsgegevens wordt nu door ieder land in de Europese Unie zelf geregeld, aan de hand van de Europese richtlijnen. In Nederland wordt dit geregeld in de Wet bescherming persoonsgegevens (Wbp). Vanaf 25 mei 2018 zullen deze nationale wetten vervangen worden door de Algemene Verordening Gegevensbescherming (AVG), dit is de Nederlandse benaming voor de General Data Protection Regulation (GDPR).

De regelgeving rondom het verzamelen van persoonsgegevens wordt strenger, evenals het toezicht op deze regelgeving. De boetes kunnen oplopen tot € 20 miljoen of 4% van de jaaromzet. Dit betekent dat vrijwel iedere organisatie een aantal zaken moet regelen om aan deze regelgeving te voldoen. Het belangrijkste is het kenbaar maken van het feit dat je persoonsgegevens verzameld, voor welk doeleinde je dit doet en met wie je deze deelt.

Op 18 januari 2018 en 8 maart 2018 hebben wij GDPR ontbijtsessies georganiseerd. Tijdens deze sessies heeft onze partner Smith & Doe concrete adviezen en tips gegeven hoe je als bedrijf voldoet aan de GDPR-regelgeving. In deze blog behandelen wij een aantal van de belangrijkste zaken die in deze sessie naar voren zijn gekomen:

Stap 1: Maak een datamap

Allereerst is het belangrijk om te inventariseren welke persoonsgegevens er gebruikt worden in de organisatie en hoe. Het gebruik van persoonsgegevens wordt ‘verwerken’ genoemd, de paden die de gegevens afleggen noemen we ‘gegevensstromen’. Het maken van een overzicht van de verschillende gegevensstromen is voor de meeste organisaties verplicht. Onze partner Smith & Doe biedt een handige tool aan om het gebruik van de persoonsgegevens binnen jouw bedrijf in kaart te brengen: overzicht gegevensstromen.

Stap 2: Een ‘functionaris gegevensbescherming’ aanstellen

Met de nieuwe privacywet wordt het voor sommige organisaties verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Een FG is eenpersoon die wordt aangewezen om intern toezicht te houden op het verwerken van de persoonsgegevens. Denk hierbij aan werkzaamheden als het informeren over de regelgeving en het toezien op het naleven van deze regelgeving. Een FG kan daarentegen niet persoonlijk aansprakelijk worden gehouden voor het niet naleven van de privacywet door de organisatie. Ga deze checklist na om te achterhalen of jouw organisatie ook een FG moet aanstellen.

Stap 3: Van wie ontvang je gegevens en aan wie geef je gegevens door?

Zoals eerder benoemd is het belangrijk om in kaart te brengen welke gegevens je verzameld, waarom en met wie je deze deelt. Het gaat hierbij dus ook om persoonsgegevens die jouw organisatie van een andere organisatie ontvangt (en dus niet rechtstreeks van een persoon) en andersom. Het is dus zaak om ook alle organisaties waarmee persoonsgegevens worden uitgewisseld vast te leggen in de datamap. Denk bijvoorbeeld aan het uitwisselen van persoonsgegevens met Google Analytics of Facebook, wanneer mensen je website hebben bezocht. Of salarisverwerkingsbureaus die salarissen verwerken.

In het geval dat er persoonsgegevens worden verstuurd naar een andere organisatie, wordt deze organisatie een bewerker van jouw gegevens. Het is wettelijk verplicht om de bewerkers vast te leggen in de datamap. In het geval dat er persoonsgegevens worden ontvangen van een andere organisatie moet de herkomst van de persoonsgegevens worden vastgelegd. Dit maakt jouw organisatie dus een bewerker.

Stap 4: Afsluiten van bewerkersovereenkomsten

Na het vaststellen van de herkomst van persoonsgegevens en welke partijen bewerkers zijn van jouw gegevens is het van belang om bewerkersovereenkomsten af te sluiten. In deze overeenkomst moet staan dat de bewerker de persoonsgegevens alleen mag verwerken in opdracht van de verantwoordelijke (de herkomst organisatie), de gegevens goed beveiligd, niet verder deelt en datalekken altijd moet melden. Ook voor het opstellen van deze documenten biedt Smith & Doe een aantal handige handvaten: bewerkersovereenkomsten opstellen.

Er zijn dus een aantal organisatorische veranderingen waar je rekening mee moet houden om als bedrijf GDPR-compliant te zijn. In de wereld van online marketing hebben we natuurlijk ook veel met persoonsgegevens te maken, daarom hebben we ook een blog geschreven waarin wij 5 tips geven hoe jij je website GDPR-compliant kunt maken

De video hieronder geeft een kleine impressie van de vorige kennissessie: