linkedintwitter

READY, STEADY, GO!

We hebben het al meerdere keren aangegeven: de nieuwe Europese algemene verordening gegevensbescherming zal van kracht worden vanaf mei 2018. Dat is al binnen minder dan twee jaar. De BDMA stipt daarom aan dat er nù al gestart moet worden met de voorbereidingen. De tijd gaat immers sneller dan je denkt ... Dominique Pissort geeft ons alvast enkele belangrijke must-do’s mee voor de komende maanden.
Een belangrijk element in de nieuwe verordening is dat ze zowel van toepassing op een naamloze vennootschap, op een vzw (van een fondsenwerving tot de plaatselijke judoclub) als op een éénmanszaak (de slager om de hoek). Kortom: op iedereen die gegevens bijhoudt. Maar of je nu een groot of klein bedrijf bent, wat zijn de actiestappen waar je nu al mee MOET beginnen? Immers, zoals Dominique stelt: “Het is niet meer een geval van ‘min of meer in orde’ zijn. Je moet totaal in orde zijn.”

STAP 1: Start met een data mapping

De BDMA raadt aan nu al een inventaris te maken van alle gegevens die in het bezit zijn van een bedrijf, vereniging of instantie. Het gaat dan om alle categorieën aan gegevens (zelfs de getrouwheidskaarten met adressen die de lokale bakker in het kader van een ‘tien broden kopen, één gratis’ moet bijhouden voor fiscale redenen). In de inventaris moeten ook de privacy policy, de opt-in- en opt-out-formuleringen en -aanvragen, de implementatie van de opt-in en opt-out opgenomen worden. “Je moet eveneens een inventaris van de bronnen maken. Dat geldt nu ook al: is er iemand die vraagt naar de bron van zijn gegevens dan moet je die kunnen geven,” zegt Dominique.

Het komt er op neer dat je als het ware een foto maakt van de data-situatie. “Dat is een groot werk, maar je moet weten wat er aan data is. Je moet die ‘foto’ hebben van de actuele situatie om in te kunnen schatten wat je nog moet doen om in orde te zijn tegen mei 2018.”

STAP 2: Zet processen op

Bedrijven moeten processen uitdenken en installeren om de veiligheid van de gegevens te waarborgen. Dat kan gecontroleerd worden onder meer op basis van interne en externe audits. Ook moet er een detectiesysteem zijn om data breach te kunnen ontdekken. Zo’n lek moet binnen 72 uur na het ontdekken ervan gemeld worden bij de privacy-commissie. Daar moeten dus procedures voor zijn aangemaakt.
“Je moet ook processen voorzien zodat de data subjecten hun rechten kunnen uitoefenen,” raadt Dominique Pissoort aan. Die rechten zijn: recht op toegang, recht op verzet, recht op verzet tegen profilering, recht op vergeten te worden, recht op data portability en het recht op beperking van de verwerking van toepassing in geval van conflict rond gegevens.Bij het uitvoeren van het recht op beperking mag je die gegevens op dat moment niet gebruiken. Je moet ze wel bewaren tot er een oplossing is. Wat de data portability betreft is haar advies om daarvoor standaardbrieven te voorzien en al te starten met de implementatie van die overdraagbaarheid.
Ook moet er gewerkt worden aan de doeleinden en aan de termijnen die aangewend worden om data te bewaren. Dat moet binnen redelijke grenzen blijven, een moeilijke oefening.

STAP 3: Zet de administratie op orde

Er moeten contracten zijn met de verwerkers van de data en die moeten aangepast worden aan de nieuwe regelgeving. Dat zou nu eigenlijk ook al zo moeten zijn, maar vanaf 2018 worden de regels strenger. “Je moet dus een zicht hebben op alle verwerkers en er contracten mee hebben,” aldus Dominique Pissoort. “In de toekomst zal de Europese Commissie ook standaardcontracten voorbereiden.”

STAP 4: Stel een data protection officer aan

In de regeling is voorzien dat bedrijven een Data Protection Officer moeten aanstellen. Die persoon moet erop toezien dat het privacybeleid van een onderneming of instelling in overeenstemming is met de nieuwe verordening. Hij of zij is ook de contactpersoon met de privacy-commissie.