GDPR- conforme organisatie

13 stappen naar een GDPR conforme organisatie

1. Bewustwording

De eerste stap naar een organisatie die conform de GDPR werkt, is de bewustwording.

Terwijl de overgrote meerderheid van de bedrijven op de hoogte is van de GDPR, verandert niet elke organisatie even adequaat zijn praktijken om in lijn te blijven met de gegevensbeschermingswetgeving. Onwetendheid is vaak een struikelblok.

Bewustwording dient te gebeuren op alle niveaus van uw organisatie.

De integratie van de GDPR moet top-down worden ondersteund. Om dit te bereiken dienen de nodige sleutelfiguren en het management binnen uw organisatie betrokken te worden om de nodige veranderingen door te voeren. Iedereen dient zich bewust te zijn van het belang van het naleven van de GDPR.

2. Blijf rustig en wees voorbereid

Om ervoor te zorgen dat uw organisatie GDPR-conform kan werken is het belangrijk dat u zich voldoende informeert. Op de niet naleving van de GDPR staan immers forse boetes die kunnen oplopen tot 4% van uw wereldwijde omzet, met een maximum van 20 miljoen euro.

Reden te meer om u vooraf goed te laten informeren over de wondere wereld van de GDPR.

U kan bij ons kantoor steeds een afspraak maken voor een introductiegesprek. Tijdens dit gesprek geven wij meer uitleg omtrent de GDPR, bekijken we wat de noden zijn van uw organisatie en bekijken wij hoe we uw organisatie concreet kunnen bijstaan.

3. Audit

Het is onmogelijk om op een eerste gezicht te bepalen of Uw organisatie GDPR-conform handelt. Om deze reden dient u uw organisatie door te (laten) lichten.

Deze doorlichting dient op verschillende gebieden te gebeuren. Zowel juridisch als technisch zijn er namelijk verschillende valkuilen:

  • In de eerste plaats moet u in kaart brengen over welke persoonsgegevens uw organisatie beschikt en waar deze worden opgeslagen. U zal bij een eventuele controle door de Privacycommissie deze gegevens ter beschikking moeten kunnen stellen;

  • Ten tweede dient te worden gekeken naar uw overeenkomsten. Correcte overeenkomsten met de organisaties en personen waar u mee samenwerkt zijn immers essentieel om GDPR-conform te handelen;
  • Daarnaast dienen uw technische en organisatorische maatregelen getest te worden. Denk hierbij bijvoorbeeld aan een IT-penetratietest om te controleren hoe veilig uw IT-systemen zijn. Maar ook de fysische toegankelijkheid tot uw data dient getest te worden.

4. Impactbeoordeling

Het is belangrijk om bij elke gegevensverwerking door uw organisatie te bekijken welke impact deze verwerking heeft op de betrokkenen.

In sommige gevallen zal een Data Protection Impact Assesment (DPIA) verplicht zijn.

Zelfs wanneer uw organisatie niet verplicht is een DPIA uit te voeren, kan het nog steeds interessant zijn om dit toch te doen.

Een DPIA geeft u namelijk meer inzicht in de concrete impact van de verwerking die uw organisatie wenst te verrichten. Door dergelijke beoordeling uit te voeren, kan eenvoudiger de gevolgen inschatten van de verwerking. Op deze manier kan u betere maatregelen nemen om uw organisatie te beschermen tegen mogelijke bedreigingen voor deze verwerking.

Wanneer u beter geïnformeerd bent omtrent de gevolgen van een geplande verwerking, zal u zich eenvoudiger kunnen conformeren aan de GDPR. Daarom is het steeds interessant een DPIA uit te voeren.

5. Opleiding

Menselijke tussenkomst blijkt één van de grote zwaktes te zijn in de beveiliging van gegevensverwerking. Daarom is het belangrijk om voldoende opleiding te voorzien voor uw medewerkers.

Veel mensen zijn zich vaak niet bewust van de gevoeligheid van persoonsgegevens waarmee ze bij het uitoefenen van hun taken in contact komen. Hierdoor is de kans groter dat er zich datalekken voordoen.

Om te vermijden dat uw medewerkers onbewust onzorgvuldig omgaan met persoonsgegevens, is het belangrijk dat uw medewerkers voldoende gesensibiliseerd worden.  Zo verkleint u de kans op datalekken door menselijke fouten van uw medewerkers.

6. Neem maatregelen

Om de risico’s van een bepaalde gegevensverwerking te beperken, dient uw organisatie technische en organisatorische maatregelen te nemen.

Indien uw organisatie een DPIA (Data Protection Impact Assesment) heeft uitgevoerd, zal u weten welke risico’s er verbonden zijn aan de betrokken gegevensverwerking. Met deze kennis, kan u de nodige technische en organisatorische maatregelen nemen.

De technische maatregelen hebben betrekking op uw IT-systemen. U kan bijvoorbeeld genoodzaakt zijn om de ITsystemen die uw organisatie gebruikt te vernieuwen wanneer blijkt dat deze te zwak zijn op het vlak van gegevensbescherming.

Het versleutelen van gegevens is volgens de GDPR niet verplicht, maar is louter een aanbeveling. Het gaat er over dat je als onderneming nadenkt over hoe je met data omgaat.

Pseudonimisering van gegevens kan wel een goede optie zijn om in het achterhoofd te houden. Dit wil zeggen dat persoonsgegevens niet langer rechtstreeks kunnen worden gekoppeld aan een natuurlijk persoon, maar enkel met behulp van bijkomende informatie die ergens apart bewaard wordt. Bij eventuele gegevenslekken kan je op die manier aantonen dat je moeite hebt gedaan om de verwerkte persoonsgegevens te beveiligen.

Daarnaast zal u ook organisatorische maatregelen dienen te nemen. Deze maatregelen zullen veelal de fysische toegang tot de verwerkte persoonsgegevens betreffen. Het moet namelijk niet enkel technisch maar ook fysisch onmogelijk zijn voor onbevoegden om toegang te krijgen tot de persoonsgegevens die uw organisatie verwerkt.

7. Gegevensbeheer

De persoonsgegevens die binnen uw organisatie verwerkt worden, moeten op een correcte manier beheerd worden.

Bekijk op welke manier uw organisatie dit het best kan beheren. Denk hierbij bijvoorbeeld aan het digitaliseren van uw papieren dossiers. Een correct beheer van de gegevens verkleint immers het risico op gegevenslekken.

8. Transparantie

Transparantie is één van de belangrijkste beginselen uit de GDPR. Daarom dient u steeds duidelijk en verstaanbaar te communiceren met de betrokkenen.

U dient duidelijk te communiceren naar de betrokkenen welke gegevens u zal verwerken, waarom u dit zal doen en wat er met deze gegevens zal gebeuren. Dit kan u best doen via een ‘Privacy Statement’ dat u ook publiceert op uw website.

Daarnaast houdt transparantie ook in dat u duidelijk aan de betrokkenen meedeelt waar zij terecht kunnen met eventuele vragen en/of klachten.

9. Contractbeheer

Het is belangrijk om de contracten die uw organisatie heeft met allerlei dienstverleners en leveranciers te bekijken. Deze hebben namelijk vaak  ook betrekking op het verwerken van persoonsgegevens.

Een doorlichting is van essentieel belang om te bekijken welke persoonsgegevens u uitwisselt met contractpartners. Mogelijks moeten er contracten worden herzien om in orde te zijn met de GDPR.

Ook wanneer u met contractpartners geen gegevens uitwisselt, kan het aangeraden zijn om deze contracten te bekijken. Uw contractpartners, (of hun medewerkers), kunnen in sommige gevallen namelijk toegang krijgen tot gegevens. Denk hierbij bijvoorbeeld aan een poetsdienst die toegang heeft tot uw papieren archief. Ook voor deze contracten kan het interessant zijn om clausules in te voegen die betrekking hebben op de geheimhouding van deze gegevens.

10.Overweeg een verzekering

U kan allerlei maatregelen nemen om gegevenslekken te voorkomen, maar dit neemt niet weg dat er toch gegevenslekken kunnen plaatsvinden. Het is aan te raden om u hiervoor te verzekeren.

Een verzekering voor gegevenslekken wordt in de meeste gevallen een cyberverzekering genoemd. Deze kan de schade dekken die voortvloeit uit een inbreuk op uw cyber security.

Hackers hebben het steeds vaker gemunt op kleinere organisaties, aangezien deze in vele gevallen niet over de budgetten beschikken om de beste cybersecurity-systemen te betalen. Hierdoor loopt uw organisatie naast het eventuele verlies van de gegevens ook het risico op andere financiële gevolgen. Een cyberverzekering verkleint de financiële last voor uw organisatie.

11.Blijf up-to-date

Het is belangrijk om uw organisatie regelmatig opnieuw door te lichten en een audit te laten doen. Het feit dat uw organisatie vandaag GDPR-conform is, wil niet zeggen dat u automatisch ook de komende jaren GDPR-proof persoonsgegevens verwerkt.

De uitwisseling van persoonsgegevens tussen publieke en particuliere actoren (waaronder natuurlijke personen, verenigingen en ondernemingen) is overal in de Unie toegenomen en zal in de toekomst alleen maar toenemen.

Door technologische ontwikkelingen en globalisering ontstaan er steeds nieuwe uitdagingen voor de bescherming van persoonsgegevens.

Net zoals de maatschappij evolueert, is ook uw organisatie steeds in beweging en worden er nieuwe contracten gesloten of komen er nieuwe medewerkers bij. Daarom is het belangrijk dat u regelmatig stilstaat bij de GDPR-conformiteit van uw organisatie.

12.Verantwoordelijkheid

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de basisbeginselen inzake de verwerking van persoonsgegevens.

De verwerkingsverantwoordelijke zal steeds moeten kunnen aantonen dat hij maatregelen heeft genomen om de principes te waarborgen.

De principes inzake de verwerking van persoonsgegevens liggen vervat in artikel 5 van de AVG en blijkt één van de meest geschonden bepalingen te zijn volgens rechtspraak van de Gegevensbeschermingsautoriteit.

 

13.Noodzaak of een deugd?

Veelal zien ondernemingen de GDPR als een noodzakelijk kwaad i.p.v. een deugd. Dat hoeft immers niet steeds zo te zijn.

Bedrijven kampen de laatste jaren steeds vaker met gegevenslekken. Dankzij de GDPR worden bedrijven met hun neus op de feiten gedrukt om bewuster om te gaan met persoonsgegevens. Niet alleen ter bescherming van wie de persoonsgegevens worden verwerkt maar ook ter bescherming van de eigen belangen van ondernemingen.

Hoofdwebsite Contact
make appointment upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!