Vijf praktische tips die jouw organisatie GDPR-compliant maken
28 januari is de Europese Dag van de Privacy. Doel van deze dag is mensen beter te informeren over hun rechten rond het gebruik van hun persoonsgegevens door overheden en andere organisaties. Daarnaast worden bedrijven op diezelfde dag aangespoord om de bescherming van persoonsgegevens te verbeteren. Heeft jouw organisatie alle GDPR-processen op orde?
GDPR en persoonsgegevens
Als werkgever beschik je over allerlei persoonsgegevens van je werknemers, klanten en leveranciers. De General Data Protection Regulation (GDPR) voorziet de spelregels voor het verzamelen, gebruiken en beveiligen van persoonsgegevens.
Een schending van de regels kan tot ernstige sancties leiden: enkele maanden geleden kreeg een kmo een boete van 15.000 euro vanwege het laattijdig afsluiten van e-mailadressen van ex-werknemers. Bovendien zorgt corona voor extra uitdagingen op vlak van GDPR.
Deze vijf tips helpen je boetes te vermijden:
1. Houd een verwerkingsregister bij
Het overzicht bewaren over alle persoonsgegevens die je als onderneming beheert, is geen sinecure. Toch verplicht GDPR tot transparantie, waartoe een verwerkingsregister dient. Dit register beschrijft welke persoonsgegevens je verzamelt en verwerkt, samen met het doel waarvoor ze verwerkt worden én hun rechtsgrond. Neem in de register niet alleen de gegevens van je medewerkers op, maar ook die van klanten en leveranciers.
2. Bepaal je grondslag
De basisregel van GDPR is vrij eenvoudig: je mag persoonsgegevens niet zomaar allemaal verzamelen en verwerken, dit kan enkel als je kan aantonen dat je één van de vier limitatieve rechtsgronden hebt om dat wél te doen:
- je moet bepaalde gegevens verwerken omdat dat nodig is om een overeenkomst met de betrokkene uit te voeren;
- de wet verplicht je of staat je expliciet toe om persoonsgegevens te verwerken;
- je hebt een ‘gerechtvaardigd belang’ om gegevens te verwerken, waarbij jouw belang in evenwicht is met de inbreuk die je begaat op de privacy van de betrokkene;
- je hebt toestemming gevraagd en gekregen van de betrokkene om gegevens te verwerken.
3. Bewaak de bewaartermijnen van persoonsgegevens
Als uitgangspunt geldt dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is. Hoe lang de bewaartermijn dus precies is, moet je geval per geval beoordelen en vastleggen in functie van de verwerkingsactiviteit. Dit is een belangrijke oefening, die je ook verplicht om na te denken hoe je de gegevens zal verwijderen uit je systemen nadat de bewaartermijn is verstreken.
4. Informeer en wees transparant
Transparantie houdt in dat je je medewerkers informeert over de verwerking van hun persoonsgegevens. Bundel deze info bij voorkeur in een ‘privacy policy’, waarin je jouw medewerkers op de hoogte brengt van de aard van de persoonsgegevens die je verwerkt, het waarom en op welke grond je deze verwerkt. Ook de bewaartermijnen en rechten van je medewerkers neem je in dit document op.
5. Stel een contactpersoon aan en stel extra policies op
Verder kan het ook interessant zijn om extra policies op te stellen, zoals een gedragscode die beschrijft wie met persoonsgegevens van klanten, leveranciers en andere stakeholders mag omgaan, hoe zij hier moeten mee omgaan en wat de sancties zijn als ze dit niet naleven. Of stel een internet en e-mailpolicy op waarbij regels worden afgesproken over het gebruik van een e-mailaccount alsook de verwijdering ervan na uitdiensttreding, om boetes zoals hierboven beschreven te vermijden. Stel eventueel een GDPR-contactpersoon aan, waarbij je medewerkers met al hun vragen en zorgen terechtkunnen.
Opleiding: GDPR en privacyregels
Benieuwd hoe GDPR-compliant jouw organisatie is? Volg deze opleiding en versterk je privacybeleid.
Geschreven door
Managing consultant