Ben jij in orde voor GDPR?

De datum 25 mei heb je ongetwijfeld al vele malen zien passeren in verschillende mails. Dat is ook logisch, want dan wordt de GDPR-wetgeving van kracht. Maar wat moet je als bedrijf nu precies weten en doen rond GDPR? Het is erg ingewikkeld en niet evident om als bedrijf hiermee om te gaan. Om je te helpen hebben we een glashelder stappenplan opgesteld. Als je onderstaande stappen hebt uitgevoerd vòòr 25 mei, dan mag je op je beide oren slapen.

1. Verwerkersovereenkomst

De eerste stap is het opstellen van een verwerkersovereenkomst. In deze overeenkomst maak je duidelijk aan de betrokken partijen (de klanten en leveranciers) wat je precies van plan bent met hun gegevens. De verwerkersverantwoordelijke beschrijft in dit document wat de verwerker (het bedrijf) met de gegevens mag doen. Weet je niet goed hoe hieraan te beginnen? Klik dan hier om een voorbeeld van een verwerkersovereenkomst te bekijken.

2. Data register

De volgende stap is het opmaken van een data register. Hierbij is het belangrijk de verschillende soorten data op te sommen en er bij te vermelden waarvoor je deze data precies gebruikt. Ook welke software/ applicaties je gebruikt om de gegevens te verwerken. Verwijs hier telkens naar de documenten die de procedures ter respectering van de rechten van de betrokkenen bepalen. Een voorbeeld van zo’n data register vind je op de site van de Privacy Commissie.

3. Privacy Policy aanpassen

Bij de Privacy Policy deel je op een duidelijke manier mee aan de betrokken personen wat je precies gaat doen met hun verzamelde gegevens, hoe de gegevens op een veilige manier worden bewaard en dat de gegevens niet worden uitgedeeld aan derden. Je werknemers en de door jouw ingeschakelde partners zijn echter verplicht om de vertrouwelijkheid van de persoonsgegevens te respecteren. Een voorbeeld van een privacy policy kan u hier terugvinden.

4. Datalek Policy

De Datalek Policy kan worden opgesplitst in 2 delen. Enerzijds licht je de ondernomen acties voor de beveiliging van je gegevens toe, anderzijds moet er een stappenplan worden opgesteld indien er zich een datalek voordoet.

  • Ondernomen acties voor beveiliging van de gegevens

Geef een opsomming van de verschillende soorten gegevens die je hebt verzameld en leg hierbij uit welke acties je ondernomen hebt om deze te beschermen. Dit kan naast de eigen klantengegevens ook de gegevens op de websites, de interne NAS of de VPN-verbinding zijn.

  • Stappenplan bij een datalek

Stel een duidelijk stappenplan op van wat er precies gebeurt wanneer er zich een datalek voordoet. Dit gaat van het waarnemen van het lek, tot het opmeten van de schade en hoe je dergelijke datalekken kan vermijden in de toekomst.

5. Aanpassen media waar gegevens verzameld worden

Belangrijk is dat de gebruikers van jouw platform expliciet de toestemming geven dat je hun gegevens mag opslaan en gebruiken. Hiertoe moeten ze ook de mogelijkheid hebben om te vragen hun gegevens niet bij te houden. Dit moet gebeuren aan de hand van een radiobutton waar de mensen zelf actief een button kunnen aanvinken.

Daarom is het belangrijk dat er bepaalde wijzingen gebeuren aan alle formulieren op de site zodat de gebruiker toestemming kan geven dat je zijn of haar gegevens gebruikt.

Belangrijke termen in deze fase zijn opt-in en opt-out, waarvan men bij het eerste akkoord gaat met het feit dat hun gegevens worden gebruikt. Opt-out betekent dan weer het omgekeerde.

Klik hier om een voorbeeld te zien.

6. Historische Data

Nog een laatste stap voor dat je als bedrijf volledig in orde bent met de GDPR-wetgeving is de historische data. Dit is alle data die je verzameld hebt voor de GDPR van kracht gegaan is. Hier is het belangrijk dat er een duidelijk onderscheid gemaakt wordt van welke gegevens wel en niet onder de GDPR vallen. Bv. een info@-emailadres valt niet onder de GDPR-wetgeving omdat je de persoon achter het e-mailadres niet kent.

Indien je e-mailadressen/andere data hebt verworven die niet onder de GDPR-wetgeving vallen, ben je genoodzaakt de betrokken partijen opnieuw toestemming te vragen om de gegevens te gebruiken. Daarnaast moet je de betrokken partijen ook op de hoogte brengen dat ze zich steeds kunnen in- en uitschrijven op de mailings of andere communicatie die wordt verstuurd. Indien er op deze mail niet gereageerd wordt, is het ook nodig naar deze personen een nieuwe mailing te versturen waarin staat dat ze steeds in de lijst blijven, maar dat ze zich ten alle tijde kunnen uitschrijven.

 

Heb je nog vragen omtrent GDPR? Stuur dan zeker een mailtje naar mathieu@merkenmarketeers.be, dan helpen we je graag verder.