GDPR – Anders bekeken
GDPR is een pure “legale” materie
Niets tegen in te brengen natuurlijk : GDPR is een wettekst die bestaat uit 99 artikelen, aangevuld met 173 recitals. Dus gesneden koek voor advocaten en juristen. Logisch dus ook dat meeste bedrijven hiervoor eerst en vooral naar een juridisch adviesbureau stappen om de impact voor hun bedrijf in kaart te brengen.
Als alles goed gaat, zal deze jurist de wettekst voor u vertalen naar begrijpbare en relevante instructies, en terugkeren met een aantal concrete aandachtspunten die voor uw bedrijf van toepassing zijn. Hij is ook perfect geplaatst om bepaalde artikelen die door de Europese wetgever bewust open gelaten zijn voor interpretatie, te gaan verwerken en concreet in te vullen op basis van zijn ervaring en eigen aanvoelen.
Maar hoe deze richtlijnen in de praktijk brengen?
Maar vanaf dat moment zal u zelf aan de slag moeten. De richtlijnen en doelstellingen moeten dan immers geïmplementeerd worden in uw organisatie. Uw medewerkers moeten concrete richtlijnen en opvolging krijgen in de vorm van policies en procedures, alle systemen waar persoonlijke gegevens gebruikt worden moeten in kaart gebracht worden, contracten met onderaannemers en externe partijen die persoonlijke gegevens van u ontvangen moeten herzien en aangevuld worden met concrete privacy-statements en “consent”-buttons. Er moeten procedures uitgewerkt worden om adequaat te kunnen reageren in geval van een data-breach.
Daarnaast maakt informatie beveiliging een zeer belangrijk deel uit van de GDPR wetgeving. Het is immers van weinig belang dat uw website een duidelijke privacy-statement bevat, en dat u uw contacten alle rechten tot inzage, wijziging en schrapping van hun gegevens garandeert, als deze gegevens de facto al met moeite beveiligd zijn. Ook hier zal uw juridisch adviseur eerder kijken naar een IT-specialist om een duidelijk overzicht te krijgen van de bestaande toestand
Maar respect voor data-privacy, respect voor de gegevens van je bedrijf, van je werknemers en van je klanten is niet iets wat je doet om te voldoen aan een Europese wettekst. Het zou een absolute topprioriteit moeten zijn in elk bedrijf, want werknemers, klanten en contacten in het algemeen zijn uw belangrijkste assets.
Hieronder volgen een aantal praktische stappen die u op weg kunnen helpen:
- Een duidelijke, privacy-statement op je website, in een taal die iedere bezoeker begrijpt, met duidelijke vermelding van zijn rechten als individu
- Het expliciete akkoord van personen voor het gebruik van hun gegevens
- Minimaliseren van de bewaarde gegevens : Vraag enkel de gegevens op die je nodig hebt. Als je bepaalde data niet of niet langer nodig hebt, hoef je die ook niet langer te bewaren
- Een uptodate overzicht van de gegevensverwerking binnen je bedrijf, met vermelding welke gegevens eventueel gedeeld worden met andere bedrijven en op welke manier dit gebeurt
- Een afdoende informatie-beveiliging zodat informatie enkel toegankelijk is voor diegene die ze nodig heeft.
Met dank aan Krist Cappelle voor zijn bijdrage aan deze blog.