Laten we eerst je gedachten opfrissen over wat de GDPR wetgeving is. Het is een reeks regels over hoe bedrijven de persoonsgegevens van betrokkenen moeten verwerken. Wat de GDPR vastlegt zijn verantwoordelijkheden voor organisaties om ervoor te zorgen dat privacy en bescherming van persoonsgegevens correct gevolgd/gedaan worden. Het begrijpen van de GDPR eisen kan soms overweldigend aanvoelen. Deze tien belangrijkste GDPR eisen kunnen het je gemakkelijker maken:
1. Rechtmatige, eerlijke en transparante verwerking
Dit betekent dat je gevraagd wordt de persoonsgegevens op een rechtmatige, eerlijke en transparante manier te verwerken.
- Rechtmatig: elke verwerking moet gebaseerd zijn op een legitiem doel.
- Eerlijk: bedrijven nemen hun verantwoordelijkheid en verwerken gegevens niet voor andere dan legitieme doeleinden.
- Transparant: bedrijven moeten de betrokkenen informeren over de verwerkingsactiviteiten van hun persoonsgegevens.
2 Beperking van doel, gegevens, en opslag
- Van jou wordt verwacht dat je de verwerking beperkt en alleen die gegevens verzamelt die noodzakelijk zijn. Je mag geen persoonsgegevens bewaren als het verwerkingsdoel is voltooid.
- Geen verwerking van persoonsgegevens buiten het legitieme doel waarvoor de persoonsgegevens verzameld werden
- Zorg ervoor dat geen andere persoonsgegevens worden gevraagd dan wat noodzakelijk is
- Zorg ervoor dat persoonsgegevens gewist worden zodra het legitieme doel waarvoor ze verzameld werden voltooid is.
3. Rechten van de betrokkenen
Alle betrokkenen hebben het recht om aan de organisatie te vragen welke informatie ze over hen hebben en wat het bedrijf met hun informatie doet. Bovendien hebben ze het recht om correctie te vragen, bezwaar te maken, of zelfs te vragen dat hun persoonsgegevens gewist of overgedragen worden, ook als het doel nog niet voltooid was. Normaliter adviseren we om op je website een kopje privacy op te nemen waar je de rechten benoemt inclusief hoe ze contact kunnen opnemen.
4. Toestemming
Je mag geen gegevens opslaan zonder hun toestemming. Dit betekent dat aan de betrokkene duidelijk en expliciet toestemming gevraagd moet worden, en dat dit gedocumenteerd moet worden. Het moet ook duidelijk zijn hoe ze die kunnen intrekken, en het moet hen mogelijk gemaakt worden dat op elk moment te doen. En niet te vergeten: voor de verwerking van gegevens van kinderen vereist de GDPR de uitdrukkelijke toestemming van de ouders/voogd als het kind jonger is dan 16 jaar.
5. Inbreuken in verband met persoonsgegevens
Om aan de GDPR te voldoen, moeten organisaties een register van inbreuken in verband met persoonsgegevens bijhouden. Daarin bepaal je de ernst van de inbreuk, en op basis daarvan moeten de regelgever en het gegevenssubject binnen 72 uur op de hoogte gebracht worden.
6. Privacy door ontwerp
Bedrijven moeten organisatorische en technische mechanismen ter bescherming van persoonsgegevens inbouwen in het ontwerp van nieuwe systemen en processen; dat wil zeggen dat privacy- en beschermingsaspecten standaard verzekerd moeten zijn.
7. Effectbeoordeling voor gegevensbescherming
Om het effect van veranderingen of nieuwe acties in te schatten, moet een gegevensbeschermingseffectbeoordeling worden uitgevoerd wanneer een nieuw project, verandering of product wordt opgestart. Dit is een procedure die moet worden uitgevoerd wanneer een belangrijke verandering in de verwerking van persoonsgegevens wordt ingevoerd.
8. Doorgifte van gegevens
De verantwoordelijke voor de verwerking van persoonsgegevens moet ervoor zorgen dat de persoonsgegevens beschermd worden en de GDPR-voorschriften worden nageleefd. Ook wanneer de verwerking door een derde wordt gedaan. Dit betekent dat verantwoordelijken voor de verwerking verplicht zijn de bescherming en privacy van persoonsgegevens te waarborgen wanneer die gegevens buiten het bedrijf worden doorgegeven aan een derde partij en/of een andere entiteit binnen hetzelfde bedrijf.
9. Functionaris voor gegevensbescherming
Wanneer er in een organisatie sprake is van belangrijke of structurele verwerking van persoonsgegevens, moet de organisatie een functionaris voor gegevensbescherming aanstellen. Let op: Vergeet deze niet te registeren, dat is verplicht. Voor veel ICT bedrijven is een Functionaris Gegevensbescherming voor nu nog goed te combineren als onderdeel van de Security Officer rol maar hangt dit helemaal van je type klanten af en wat voor diensten je precies levert.
10. Bewustmaking en opleiding
Organisaties moeten iedereen in de onderneming bewust maken van de belangrijkste GDPR eisen en regelmatig trainingen geven om ervoor te zorgen dat ze op de hoogte blijven!
