GDPR? Dat staat voor de nieuwe General Data Protection Regulation (GDPR). Deze Europese richtlijn heeft een grote impact op zowel IT, HR, Sales en Marketing… Wie in orde wil zijn voor de deadline van mei 2018 kan best nu al in actie treden. Dat is echt niets te vroeg, zeggen specialisten.
Breng je dataprocessen in kaart en pas contracten aan
Je hebt uitdrukkelijke toestemming nodig van personen om gegevens over hen te verwerken. Daarnaast kun je het best ook alle contracten herzien met derde partijen die je gegevens bewaren, verwerken, etc.
Inbreuken melden
Wanneer er een incident plaatsvindt dat de integriteit van gegevens in gevaar brengt – denk bijvoorbeeld aan een hacker die patiëntengegevens van een hospitaal hackt – moet je binnen de 72 uur de nationale toezichthouder informeren. Wanneer de gehackte gegevens niet geëncrypteerd zijn, moeten ook de personen van wie de gegevens gekraakt werden hierover geïnformeerd worden.
Sluit een doorgiftecontract met niet EU-partners af
De regels voor de export van data naar niet EU-landen verstrengen. Ver van je bed? Think again. ‘Een situatie waar een onderneming een CRM heeft bij een datacenter in Amsterdam, dat voor zijn service en technische ondersteuning een beroep doet op een bedrijf in India, is niet denkbeeldig. In dat geval moet het bedrijf met hen een doorgiftecontract voor data afsluiten’, zegt Tom De Cordier, die als advocaat bij het kantoor CMS onder meer gespecialiseerd is in data privacywetgeving.
Update de privacy notice
De bekende privacy notice die je vandaag al hanteert, moet nu ook expliciet vermelden welke data je bewaart.
Benoem een data protection officer
Die inventariseert alle dataprocessen: welke gegevens bewaar je, wat doe je ermee , met wie deel je ze… Het volstaat niet langer om aan de wet te voldoen, het bedrijf moet dat ook ten allen tijde kunnen aantonen, wanneer dat gevraagd wordt. Een opdracht voor de data protection officer.
Zorg voor een security policy
Zet een policy op van maatregels en vermeld hoe je organisatie zal reageren op inbreuken. ‘Het komt erop aan een vorm van governance te implementeren, zodat het bedrijf continu conform is met de nieuwe regels’, aldus De Cordier. Review en update de policy regelmatig.
Hou de level of compliance in de gaten
De wet én de sancties worden strenger. Controleorganen kunnen boetes geven tot 4 procent van de jaarlijkse omzet.
Wacht niet tot 25 mei 2018
De nieuwe GDPR werd in april 2016 opgesteld. Europa geeft ondernemingen tot 25 mei 2018 de tijd om zich in orde te stellen. De transitieperiode van twee jaar die de EU voorziet, is er niet zonder reden, er is heel wat werk aan de winkel.
