Bedrijven hebben nog enkele weken de tijd om hun procedures aan te passen, zodat ze voldoen aan de nieuwe Europese verordening voor gegevensbescherming (GDPR). Met deze formule in 4 stappen ben je er tegen 25 mei helemaal klaar voor.

GDPR (ook wel Algemene Verordening Gegevensbescherming of AVG genoemd) vereenvoudigt, versterkt en harmoniseert de wetgeving inzake gegevensbescherming binnen de Europese Unie met een reeks maatregelen en bepalingen. Zijn die verplicht? Inderdaad! Zowel voor grote ondernemingen, KMO’s als overheidsorganisaties, zodra die gegevens van klanten, leveranciers of medewerkers verzamelen, opslaan of verwerken. Iedereen heeft het erover, maar nog niet alle bedrijven zijn er klaar voor. De klok loopt en het is nu zaak om een minimaal aantal prioritaire stappen te zetten …

Stap  1: stel een datachef aan

GDPR bepaalt dat organisaties in bepaalde gevallen een verantwoordelijke voor de gegevensverwerking – een Data Protection Officer of DPO – moeten aanstellen. Maar zelfs als dit niet verplicht is, vervult zo’n datachef een cruciale rol: hij of zij beheert het actieplan, controleert of GDPR correct wordt opgevolgd en informeert de organisatie.

Stap 2: maak een lijst van alle processen waarbij data een rol spelen

Het komt erop aan dat de organisatie gestructureerd en gedocumenteerd al haar activiteiten in kaart brengt die op één of andere manier te maken hebben met het verzamelen, beheren of opslaan van persoonsgegevens. Deze lijst zal fundamenteel blijken voor de volgende stappen.

Stap 3: evalueer de beveiliging

GDPR neemt inbreuken in verband met gegevens heel ernstig, zeker als het om “gevoelige” informatie gaat. Bedrijven moeten dus zorgvuldig alle mogelijke risico’s inschatten (plaats waar de data worden bewaard, tekortkomingen in systemen, enz.). Ze kunnen onder andere een impactaudit in verband met gegevensbescherming uitvoeren en interne processen uitwerken om te reageren bij problemen.

Stap 4: stel een actieplan op

Op basis van de inventaris en de impactaudit kan een bedrijf bepalen wat het moet doen om helemaal te voldoen aan de GDPR-eisen. Alles tegelijk uitvoeren gaat niet, dus maak je een planning, bepaal je welke acties voorrang krijgen en welke middelen je nodig hebt om alles tot een goed einde te brengen.

Het actieplan zou er zo kunnen uitzien:

  • Prioriteit 1: met de hulp van de IT-afdeling het CRM-systeem aanpassen, zodat het een computerbestand kan afleveren van de data van elke klant die erom vraagt (een verplichting);
  • Prioriteit 2: samen met de webdesigner het inschrijvingsformulier voor de nieuwsbrief op de website aanpassen om de regels over uitdrukkelijke toestemming na te leven;
  • enz.

Nog een laatste tip: het is nooit te laat om actie te ondernemen en de zware sancties te vermijden waarin deze reglementering voorziet (tot 4% van de omzet). Voor bedrijven die wat laat uit de startblokken komen, is er een ruim aanbod aan diensten en organisaties die hen kunnen helpen om alle verplichtingen na te komen. En last but not least zijn de GDPR-maatregelen niet alleen maar verplichtingen, maar bieden ze ook een kans om op een andere manier met de “data” in bedrijven om te gaan …

Meer info over GDPR?
Hoe kunnen wij jullie helpen met GDPR?

–> info@focuz.be