Selecteer een pagina
Hoe en waar te beginnen?

Bedrijven en organisaties hebben tot 25 mei 2018 de tijd om zich voor te bereiden. Belangrijk is om hier zo snel mogelijk mee aan de slag te gaan. Zorg ervoor dat één of meer personen met de juiste achtergrond en functie zich inlezen in de GDPR. Zij moeten helpen om te gaan voldoen aan de nieuwe wet- en regelgeving.

Begin met “bewustwording” binnen je eigen bedrijf. Informeer medewerkers over de komende veranderingen. Zij moeten actief bijdragen aan het slagen van de compliancy.

Zorg ervoor dat je bijhoudt welke persoonsgegevens je hebt opgeslagen en/of bewerkt, waar deze vandaan komen en met wie je deze deelt. Documenteer de verschillende types van gegevensverwerkingen en de wettelijke basis.

Voldoet je privacyverklaring? Je moet bepaalde informatie verschaffen aan de personen van wie je gegevens opslaat en/of verwerkt. Controleer je bestaande contracten met verwerkers en sub-verwerkers (onderaannemers) en breng de nodige veranderingen aan.

Voldoen de procedures in je bedrijf? Zijn alle rechten opgenomen waarop de personen, van wie je gegevens opslaat, zich volgens de GDPR kunnen beroepen? Kunnen de betrokkenen toegang krijgen tot zijn/haar gegevens?

Is de wijze waarop je toestemming vraagt, verkrijgt en registreert volgens de regels? Toestemming moet expliciet gegeven worden. Het mag geen automatisme zijn. Het moet achteraf controleerbaar zijn dat toestemming werd gegeven.

Zijn er procedures om datalekken op te sporen, te rapporteren, te evalueren en te verbeteren? Datalekken moeten binnen 72 uur gemeld worden. Het niet-naleven van de meldplicht kan resulteren in een boete naast de boete voor het datalek zelf.

Raak vertrouwd met concepten als ‘Privacy by design’ en ‘Privacy impact assessment’ (PIA). Ga na hoe deze binnen je bedrijf opgenomen kunnen worden en wie hierbij betrokken gaat worden. Bij elk ontwerp, elke ontwikkeling of implementatie moet gegevensbescherming vanaf het begin worden ingebouwd. Een PIA analyseert het systeem. Bepaal hiervoor een strategie.

Sommige bedrijven zijn verplicht een functionaris Gegevensbescherming aan te stellen. Iemand die de verantwoordelijkheid draagt voor het naleven van de GDPR. Iemand met de kennis en bevoegdheden om deze taak uit te oefenen. Bepaal of deze plicht op jouw bedrijf of organisatie rust (o.a. openbare overheden en bedrijven waar op grote schaal persoonsgegevens worden verwerkt). Is je bedrijf internationaal? Bepaal dan welke wet- en regelgeving voor jullie van toepassing is en wie de toezichthoudende autoriteit is.