Als adviseurs begrijpen we dat de complexe eisen van de GDPR-wetgeving een last met zich meebrengen voor ondernemers. De hoge boetes die met GDPR-inbreuken gepaard gaan versterken deze perceptie nog. Het naleven van de GDPR is cruciaal, niet alleen om boetes te vermijden maar ook om uw klanten te tonen dat hun gegevens veilig zijn.
In een vorig artikel gaven wij al eerder kort de strenge verplichtingen mee die voortvloeien uit GDPR. Hieronder pogen wij om de complexiteit van de GDPR te beperken door u in stappen te duiden wat u als onderneming nodig heeft om GDPR-conform te zijn. Als adviseur kunnen wij u bij elk van deze stappen bijstaan om de nodige documenten en processen op te maken of van een update te voorzien. Een mailtje of telefoontje volstaat.
Verwerken van persoonsgegevens
Zowat elke onderneming verwerkt persoonsgegevens. De definitie die de GDPR-wetgeving hieraan geeft, is dan ook zeer ruim: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.” Dit betekent meteen ook dat zowat elke onderneming aan de GDPR-wetgeving moet voldoen.
Het verwerkingsregister
Vooreerst moet u als onderneming een register opmaken met daarin alle verwerkingsactiviteiten opgenomen die de onderneming uitvoert. Dit document is onmisbaar om GDPR-conform te zijn, gezien u hierin opneemt welke gegevens verzameld en verwerkt worden, op welke manier deze verzameld en verwerkt worden en welke wettelijke grondslag u daarvoor heeft. Een correct opgemaakt verwerkingsregister zorgt er niet alleen voor dat u GDPR-conform bent, maar ook dat u uw conformiteit kan bewijzen.
Het identificeren van de wettelijk grondslag voor verwerking
Voor elke afzonderlijke verwerking heeft u een wettelijke grondslag nodig. Voor ondernemers zijn voornamelijk volgende grondslagen nuttig. Let op, indien u geen grondslag voor verwerking heeft, mag u ook geen gegevens verwerken.
- Toestemming van de betrokkene (let er hier zeker op dat de toestemming er niet alleen is, maar ook kan aangetoond worden!);
- Het uitvoeren van de contractuele relatie tussen partijen;
- U bent wettelijk verplicht de gegevens te verwerken;
- Uw onderneming heeft hier een gerechtvaardigd belang voor.
Privacybeleid en cookiebeleid
Hiermee kan u – naast het verzekeren van uw GDPR-conformiteit– uw klanten wijzen op het feit dat u gegevensverwerking serieus neemt en hun data niet zomaar laat rondslingeren. In deze documenten geeft u op transparante wijze weer welke gegevens verwerkt worden en waarom. Profiteer als ondernemer van deze mogelijkheid om vertrouwen in te boezemen bij uw klanten!
Datalekkenregister
Mocht het toch verkeerd lopen en de gegevens die u verwerkt lekken uit (bijvoorbeeld door het verkeerd versturen van een e-mail), dan is het cruciaal om daar ook correct op te reageren (afhankelijk van de grootte van het lek en welke gegevens lekken). Daarnaast moet u elk datalek steeds opnemen in het datalekkenregister, ook indien u besluit om verder geen actie te ondernemen.
Overeenkomsten met uw software-leveranciers
De GDPR legt u ook op om afspraken te maken met andere partijen die voor u gegevens verwerken. Denk bijvoorbeeld aan uw ERP- of boekhoudpakket. De meeste grote softwareleveranciers bezorgen dergelijke overeenkomst automatisch. Vergeet deze echter niet op te slaan, zodat u uw GDPR-conformiteit kan aantonen indien nodig.
Bijkomende verplichtingen
Daarnaast zijn er tal van verplichtingen die minder eenduidig te omschrijven zijn. Zo zorgt u uiteraard steeds voor een beveiligde IT-omgeving, laat u geen afgedrukte persoonsgegevens rondslingeren en sensibiliseert u uw personeel omtrent het belang van gegevensbescherming.
Heeft u hier nog verdere vragen over? Kunnen wij u bijstaan bij het voldoen aan de noodzakelijke GDPR-verplichtingen? Geef ons gerust een seintje, wij bekijken dit graag samen met u.
Het Flamée en Partners team