Nog 100 dagen te gaan!!!

Een top trainer als Jac Orie biedt zijn schaatsers de motivatie en structuur om te slagen. Maar zoals ook vandaag bleek moet de schaatser ook in topvorm zijn. Helaas was kampioen Sven Kramer vandaag niet bij machten om zijn zeer gewilde gouden plak op de 10 kilometer de zijne te maken. Het geheel moet dus kloppen. Daarom deze roadmap om structuur te geven aan de weg om klaar te zijn voor GDPR. Hopelijk geeft dat de motivatie om te kijken of jouw organisatie klaar is en in topvorm verkeerd om de GDPR-doelstelling te behalen.

Sven Kramer

Want mei 2018 komt met rasse schreden steeds dichterbij. Daarmee resteren nog 3 maanden om aan de deadline te voldoen van de nieuwe GDPR regelgeving. Ieder bedrijf dat persoonlijke gegevens verwerkt, bewaart of gebruikt, en of dat nu gegevens van medewerkers, klanten of prospects zijn. Door de komst van GDPR zal de manier van werken in iedere organisatie veranderen en het is aan jou om die veranderingen door te voeren.

De veranderingen

Voordat we deze uitdaging aangaan, is het belangrijk om inzicht te krijgen in de belangrijkste veranderingen die deze regelgeving voor een bedrijf met zich meebrengt:

  • Alle persoonlijke gegevens die in bezit zijn of worden beheerd, ongeacht of de verwerking plaatsvindt in de EU of niet, zullen op een eerlijke en transparante wijze moeten worden verwerkt, waarbij het recht op gebruik duidelijk is verleend aan de betrokkenen (d.w.z. burgers).

  • Voor overtreding van de verordeningen gelden zware financiële sancties: 4% van de jaarlijkse totale omzet of maximaal €20 miljoen (indien dit bedrag hoger is).

  • Er is explicietere toestemming nodig voor gegevensverbruik, waardoor burgers eenvoudiger hun toestemming naar wens kunnen intrekken.

  • Elke inbreuk op gegevens moet binnen een termijn van 72 uur waarbinnen de verwerker van de gegevens van een dergelijke inbreuk op de hoogte is, worden gemeld.

  • Betrokkenen hebben meer rechten op informatie over de manier waarop, waar en met welk doel de gegevens worden verwerkt. Gegevens wissen (ofwel het recht om te worden vergeten) wordt vergemakkelijkt, waarbij de betrokkenen kunnen verzoeken dat hun persoonlijke gegevens worden gewist of de verwerking van gegevens wordt gestopt (op voorwaarde dat hun verzoek daartoe voldoet aan bepaalde voorwaarden).

  • Gegevensoverdraagbaarheid wordt mogelijk, zodat betrokkenen het recht krijgen om persoonlijke gegevens te ontvangen die op hen betrekking hebben.

  • Er moeten processen voor gegevensbescherming (of standaardprivacy) worden opgenomen direct vanaf het begin van het ontwerp van nieuwe systemen, en deze mogen niet op een later tijdstip pas worden toegevoegd.

  • Functionarissen voor gegevensbescherming worden verplicht voor degenen wiens kernactiviteiten bestaan uit de verwerking van persoonlijke gegevens, waarvoor regelmatige en systematische controle op grote schaal is vereist. Dit kan eveneens gelden voor bedrijven die grote hoeveelheden ‘speciale’ gegevens verwerken

Roadmap

Hoe ziet deze roadmap er dan uit? Met de volgende stappen kan iedereen de juiste weg inslaan en op tijd in topvorm zijn voor GDPR.

GDPR roadmap

Stap 1: Begrijp wat er bedoeld wordt
Bepaal welke aspecten van de GDPR het meest relevant zijn voor de activiteiten van jouw organisatie.

Stap 2: Wat wordt de aanpak?
Ga voor een persoonlijke aanpak. Beoordeel de persoonsgegevens waarmee je in jouw organisatie te maken hebt. Marketing & Sales hebben waarschijnlijk de meeste toegang tot persoonsinformatie. Die wordt vaak op meerdere manieren verkregen. Zij moeten goed beoordelen hoe hier mee om te gaan. Daarnaast spelen HR en de Administratie ook een belangrijke rol. Zij beschikken en zijn verantwoordelijk voor de personeelsinformatie zoals PZ-dossiers en salarisgegevens. Deze zullen eveneens goed moeten worden beveiligd.

Stap3: Controleer de privacyverklaringen
Volgende de GDPR moeten mensen (intern en extern) desgevraagd de mogelijkheid worden geboden over wat er gedaan wordt met de informatie di de organisatie over hen beschikt.

Stap4: Weet wat jouw rechten zijn
Onder de GDPR wetgeving hebben EU-burgers meer gegevensrechten dan tot nu toe het geval is. Als organisatie ben je verantwoordelijk om deze rechten te beschermen. Als dat reeds nu ook al op een gedegen en verantwoorde manier gebeurt is een stevige basis gelegd voor de toekomst.

Stap5: Geef de macht aan het volk
Implementeer processen en systemen die je in staat stellen om mensen te vertellen wat er met welke persoonsgegevens gebeurt die je over hen bewaart. IT kan hierbij een belangrijke rol spelen om deze processen daar waar mogelijk te ondersteunen en te automatiseren. Waardoor mogelijk veel tijd en geld kan worden bespaard.

Stap6: Wat is de rechtsgrondslag
Zorg dat je de rechtsgrondslag voor de verwerking van d persoonsgegevens kunt uitleggen.

Stap7: Hoe toestemming te verkrijgen
Bekijk hoe je toestemming krijgt en vraagt voor de gegevensverwerking onder de huidige gegevenswetten en pas daarop het proces aan voor GDPR. Marketing kan hierbij een rol spelen. Zij zijn meestal betrokken met de wijze waarop persoonsinformatie wordt verkregen in een organisatie.

Stap8: Houd rekening met kinderen
Onder de nieuwe GDPR wetgeving worden de rechten van kinderen extra beschermd. Zorg dat je systemen de mogelijkheid hebben om leeftijden te controleren en leg in Jip en Janneke taal uit waarvoor je de toestemming nodig hebt. Vergeet hierbij niet de ouder / voogd bij te betrekken.

Stap9: Dicht alle mazen
Gebruik veilige IT informatiesystemen dat elke breuk / hack op persoonsgegevens detecteert en rapporteert. Zodat mogelijke mazen onderzocht en gedicht kunnen worden.

Stap10: Bescherm de gegevens
Kies voor een ingebouwde privacy. Elk proces wat gegevens verwerkt moet deze gegevens ook daadwerkelijk kunnen beschermen.

Stap11: Wie is de DPO?
Benoem een functionaris die verantwoordelijk is voor de gegevensbescherming. Deze Data Protecting Officer (DPO) is verantwoordelijk van de naleving van de gegevenswetten en de bijbehorende procedures binnen de organisatie. Zorg ervoor dat de vorderingen / updates onderdeel uit gaan maken van de vaste verslaglegging en rapportage van de organisatie.

Stap12; Denk wereldwijd
Breng in kaart waar jouw organisatie allemaal actief is. En onder welke GDPR toezichthoudende instantie je valt.  

Dit artikel kwam tot stand in samenwerking met onze distributeur Copaco.