GDPR – Anders bekeken

door 9 maart 2018

GDPR is een pure “legale” materie

Niets tegen in te brengen natuur­lijk : GDPR is een wettekst die bestaat uit 99 artikelen, aangevuld met 173 recitals. Dus gesneden koek voor advocaten en juristen. Logisch dus ook dat meeste bedrijven hiervoor eerst en vooral naar een juridisch advies­bu­reau stappen om de impact voor hun bedrijf in kaart te brengen.

Als alles goed gaat, zal deze jurist de wettekst voor u vertalen naar begrijp­bare en relevante instruc­ties, en terug­keren met een aantal concrete aandachts­punten die voor uw bedrijf van toepas­sing zijn. Hij is ook perfect geplaatst om bepaalde artikelen die door de Europese wetgever bewust open gelaten zijn voor inter­pre­tatie, te gaan verwerken en concreet in te vullen op basis van zijn ervaring en eigen aanvoelen.

Maar hoe deze richt­lijnen in de praktijk brengen?

Maar vanaf dat moment zal u zelf aan de slag moeten. De richt­lijnen en doel­stel­lingen moeten dan immers geïm­ple­men­teerd worden in uw orga­ni­satie. Uw mede­wer­kers moeten concrete richt­lijnen en opvolging krijgen in de vorm van policies en proce­dures, alle systemen waar persoon­lijke gegevens gebruikt worden moeten in kaart gebracht worden, contracten met onder­aan­ne­mers en externe partijen die persoon­lijke gegevens van u ontvangen moeten herzien en aangevuld worden met concrete privacy-state­ments en “consent”-buttons. Er moeten proce­dures uitge­werkt worden om adequaat te kunnen reageren in geval van een data-breach.

Daarnaast maakt infor­matie bevei­li­ging een zeer belang­rijk deel uit van de GDPR wetgeving. Het is immers van weinig belang dat uw website een duide­lijke privacy-statement bevat, en dat u uw contacten alle rechten tot inzage, wijziging en schrap­ping van hun gegevens garan­deert, als deze gegevens de facto al met moeite beveiligd zijn. Ook hier zal uw juridisch adviseur eerder kijken naar een IT-speci­a­list om een duidelijk overzicht te krijgen van de bestaande toestand

Maar respect voor data-privacy, respect voor de gegevens van je bedrijf, van je werk­ne­mers en van je klanten is niet iets wat je doet om te voldoen aan een Europese wettekst. Het zou een absolute toppri­o­ri­teit moeten zijn in elk bedrijf, want werk­ne­mers, klanten en contacten in het algemeen zijn uw belang­rijkste assets.

Hieronder volgen een aantal prak­ti­sche stappen die u op weg kunnen helpen:

  • Een duide­lijke, privacy-statement op je website, in een taal die iedere bezoeker begrijpt, met duide­lijke vermel­ding van zijn rechten als individu
  • Het expli­ciete akkoord van personen voor het gebruik van hun gegevens
  • Mini­ma­li­seren van de bewaarde gegevens : Vraag enkel de gegevens op die je nodig hebt. Als je bepaalde data niet of niet langer nodig hebt, hoef je die ook niet langer te bewaren
  • Een uptodate overzicht van de gege­vens­ver­wer­king binnen je bedrijf, met vermel­ding welke gegevens eventueel gedeeld worden met andere bedrijven en op welke manier dit gebeurt
  • Een afdoende infor­matie-bevei­li­ging zodat infor­matie enkel toegan­ke­lijk is voor diegene die ze nodig heeft.

Met dank aan Krist Cappelle voor zijn bijdrage aan deze blog.

Pin It on Pinterest

Share This