030-2209796

GDPR: welke maatregelen moet je nemen?

In mei 2018 gaat de nieuwe Europese privacywet GDPR in. De nieuwe wet heeft een enorme impact op marketing, bedrijfsvoering en informatietechnologie. Wij hebben een overzicht gemaakt van de maatregelen die je in ieder geval moet nemen.

GDPR: welke maatregelen moet je nemen?

De nieuwe privacywet GDPR heeft een enorme impact op marketing, bedrijfsvoering en informatietechnologie. Een paar maatregelen die je in ieder geval moet nemen:

  1. Pas de privacyverklaring op de website aan.
  2. Stel een datalekbeleid op en wijs een verantwoordelijke gegevensbeschermingsfunctionaris aan die contact gaat onderhouden met de Autoriteit Persoonsgegevens.
  3. Breng in kaart welke persoonsgegevens je vraagt en opslaat. Ook als dit door of bij partners gebeurt. Bepaal de verschillende doestellingen die je hiervoor hebt en bekijk per doelstelling welke gegevens je echt nodig hebt.
  4. Richt een register in waarin je vastlegt welke gegevens je bewaart, waar en hoe lang, waarom je ze bewaart, wat de legitieme grondslag daarvoor is en hoe je de toestemming van de betrokkenen hebt verkregen.
  5. Pas de procedures voor het vragen van toestemming (opt-in) voor gebruik van persoonlijke gegevens aan. Zorg daarbij dat je dat zodanig vastlegt dat je kunt bewijzen dat de klant voor elke doelstelling ondubbelzinnig zijn toestemming heeft gegeven.
  6. Breng in kaart welke personen toegang hebben tot persoonsgegevens en welke rechten zij hebben. Pas eventueel het rechtenbeleid zodanig aan dat je de kans minimaliseert dat gegevens op straat kunnen komen te liggen.
  7. Zorg dat je klanten (en prospects) altijd inzicht kunt geven in hun persoonsgegevens.
  8. Stel een protocol op voor het corrigeren en verwijderen van persoonsgegevens, waarbij je ook verifieert of degene die de gegevens wijzigt daar ook recht toe heeft.
  9. Classificeer je persoonsgegevens zodanig dat je voldoet aan de wettelijke bewaartermijnen. En stel procedures op om gegevens ook daadwerkelijk te wissen.
  10. Zorg voor een goed veiligheidsbeleid ter bescherming van alle persoonsgegevens. Je moet met documenten kunnen aantonen dat je de juiste technische en organisatorische maatregelen hebt genomen. Zorg bijvoorbeeld dat medewerkers geen software kunnen installeren op apparaten die toegang hebben tot persoonsgegevens. Geef gasten geen toegang tot je bedrijfsnetwerk. Gebruik altijd beveiligde servers en versleutel je gegevens bij het versturen ervan.
  11. Sluit aan de GDPR-regels aangepaste verwerkersovereenkomsten met alle partijen die namens jou klantgegevens bewerken.
  12. Zorg dat alle medewerkers die omgaan met persoonsgegevens op de hoogte zijn van de wettelijke regelgeving en het belang daarvan. Laat ze ook bij voorkeur geen persoonsgegevens opslaan op lokale harde schijven en usb-sticks. Laat medewerkers beveiligde VPN-verbindingen gebruiken bij het inloggen op openbare netwerken.

Moet ik een gegevensbeschermingsfunctionaris / privacy officer aanstellen?

Een privacy officer, ofwel gegevensbeschermingsfunctionaris, is een onafhankelijk persoon binnen de organisatie die adviseert en rapporteert over naleving van de GDPR/AVG. Het aanstellen van een dergelijke funcitonaris is verplicht wanneer je op grote schaal persoonsgegevens verwerkt, Een privacy officer kan iemand zijn die intern aangesteld wordt, maar mag ook iemand zijn die extern aangesteld wordt, het mag zelfs een virtuele privacy officer zijn.

Ben ik een ‘grootschalige verwerker van persoonsgegevens’?

Als je een grootschalige verwerker van persoonsgegevens bent, dan moet je extra maatregelen treffen. Je moet dan onder meer een gegevensbeschermingsfunctionaris benoemen en een data protection impact assessment (DPIA) uitvoeren. Je bent een grootschalige verwerker als je op grote schaal individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. In de GDPR/AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt, maar er zijn wel enkele criteria aangegeven:

  • het aantal personen waarvan je gegevens verwerkt;
  • de hoeveelheid gegevens die je verwerkt;
  • de duur van de gegevensverwerking;
  • de geografische reikwijdte van de verwerking.

Europese toezichthouders  zien als grootschalig bijvoorbeeld:

  • Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
  • Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
  • Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
  • Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
  • Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten.

Een voorbeeld van niet-grootschalig is een individuele arts of advocaat (‘eenpitters’). Je ziet het, je valt al snel in de categorie grootschalig.

Welke technische maatregelen moet ik nemen?

Je bent verplicht om de beveiliging, integriteit, authenticiteit en beschikbaarheid van persoonsgegevens permanent te garanderen. Hiervoor zijn ook technologische maatregelen vereist. Met alleen organisatorische en procedurele maatregelen is het niet mogelijk om aan de GDPR/AVG te voldoen. Je dient bovendien maatregelen te hebben geïmplementeerd om beveiligingsincidenten en datalekken tijdig te detecteren en de gevolgen voor betrokkenen te minimaliseren.

Beveiligingsmaatregelen moeten naar de laatste stand van de techniek zijn ingericht. De wet spreekt van het toepassen van pseudonimisering en versleuteling van persoonsgegevens om de risico’s van datalekken en van profiling te beperken. Voor het verwerken van digitale identifiers en wachtwoorden dien je specifieke maatregelen te treffen. Het gebruik van veiligheidslogging en het periodiek analyseren van logs zijn belangrijke randvoorwaarden om de werking van beveiligingsmaatregelen aan te kunnen tonen. Afhankelijk van de gevoeligheid van de verwerking kan het ook zijn dat je technologieën als inbraakdetectie en monitoringsystemen moet invoeren. Verder dien je je beveiliging periodiek te testen om de goede werking ervan aan te tonen.

MEER LEZEN OVER GDPR:

Heb je vragen over GDPR of kun je wat hulp gebruiken om je database of CRM-processen op orde te krijgen? Neem dan contact met ons op.

WELLICHT OOK INTERESSANT

Ontvang tips en adviezen in je inbox