databescherming

Article

Zijn de data van uw klanten, leveranciers en personeel reeds beschermd?

Nieuwsbrief Actualiteiten, april 2018

Op 25 mei van dit jaar treedt de nieuwe General Data Protection Regulation of ‘GDPR’ in werking. Een ‘hot topic’ in de media en tijdens netwerkmomenten, maar welke implicaties heeft de GDPR daadwerkelijk voor uw kmo en welke concrete acties kan/moet u in dit kader ondernemen?

Er is geen ontsnappen aan. De GDPR is op u als kmo van toepassing van zodra u werkt met persoonsgegevens (dit zijn alle gegevens die informatie kunnen verschaffen over een geïdentificeerde/ identificeerbare natuurlijke persoon).

Het opvragen van een naam om uw factuur op te maken, het uitsturen van nieuwsbrieven of reclame aan uw contactpersonen, het plaatsen van camera’s op de werkvloer, of zelfs het verwijderen van oude e-mailadressen zijn allemaal handelingen die onder het toepassingsgebied van de GDPR vallen.

Er wordt van u verwacht dat u de verplichtingen van de GDPR naleeft. Dit zijn onder meer:

  • transparantie over de door u verzamelde data en het doel van verwerking,
  • proportionaliteit: bijvoorbeeld data niet langer bijhouden dan nodig voor het doel van de verwerking of toegang tot data beperken op een need-to- know-basis,
  • confidentialiteit en 
  • accountability: dit is het kunnen aantonen dat u de nodige inspanningen levert en verantwoordelijkheden opneemt om de door u verzamelde of verwerkte persoonsgegevens te beschermen.

Deze vereisten worden door de GDPR gedefinieerd als algemene principes. Het is aan u als onderneming om hiervoor zelf concrete acties uit te werken.

Voorbeelden van acties

  • Een algemeen privacybeleid uitwerken dat onder meer een overzicht geeft van toegangsrechten en bewaartermijnen.
  • Het opstellen van een degelijke privacypolicy die uw klanten informeert over de door u verzamelde data, het doel van verwerking, de bewaartermijnen die u hanteert, aan wie u data eventueel doorgeeft en wat de rechten van uw klanten als natuurlijke persoon en datasubject zijn.
  • Het afsluiten van overeenkomsten met derde partijen aan wie u persoonsgegevens doorgeeft waarin u de garantie vraagt dat die derde partijen de ontvangen gegevens conform de GDPR behandelen.
  • Het bijhouden van een intern dataregister dat weergeeft welke processen plaatsvinden met betrekking tot persoonsgegevens in de onderneming.
  • Het geven van trainingen en awareness-sessies aan uw medewerkers zodat zij weten hoe ze op een correcte manier dienen om te gaan met persoonsgegevens.
  • Het aanstellen van een Data Protection Officer of ‘DPO’ die optreedt als aanspreekpunt en waakhond in het kader van het naleven van de GDPR-verplichtingen.

Belangrijk is te voldoen aan de door de GDPR algemeen vooropgestelde vereisten. Hoe u dat doet en welke concrete acties u hiertoe onderneemt zal in belangrijke mate aan uw eigen oordeel onderworpen zijn.

Vertrekkend van een aantal interviews en een quick scan, kunnen wij samen met u een GDPR actieplan op maat opstellen en/of u begeleiden bij de implementatie hiervan.

Gepubliceerd op 18/04/2018
laria Huwel,
ihuwel@deloitte.com

Did you find this useful?