GDPR Data-driven marketing Smart data

GDPR Checklist - Haalbare stappen om compliance te bereiken

12 apr 2018

Bedrijven in de hele wereld hebben zich klaar voor de GDPR-verordening gemaakt. Correct gegevensbeheer is cruciaal om te voldoen aan de nieuwe wetgeving. Om u te helpen, hebben experts van Bisnode een GDPR-checklist over de voornaamste vereisten samengesteld. 

Ook al omvat de lijst taken die uw marketingteam zelf kan uitvoeren, het is altijd aanbevolen om juridische steun in te schakelen. Dit geldt vooral voor grote organisaties. 

Hoe compliance blijven en boetes vermijden: 

1.    Bepaal uw territoriaal bereik 

De GDPR-verordening is van toepassing op organisaties die in de EU gevestigd zijn maar ook op bedrijven buiten de EU die gegevens van EU-burgers verwerken. 

Takenlijst 

  • Indien uw bedrijf tot een van de bovenstaande categorieën behoort, moet u voldoen aan de GDPR-verordening.
  • Globale organisaties moeten achterhalen onder welke toezichthoudende autoriteit zij vallen op het vlak van gegevensbescherming.  

2. Verhoog het bewustzijn 

Verhoog het bewustzijn over de nieuwe regels inzake gegevensbescherming binnen en buiten uw organisatie. 

Takenlijst 

  • Informeer de beleidsmakers en werknemers in uw organisatie over de opkomende veranderingen. Update of herzie uw contracten met handelspartners en leveranciers.
  • Als u werkt met leveranciers buiten de EU, zorg ervoor dat ze dan voldoen aan de GDPR-verordening.
  • Zorg ervoor dat al uw contracten met derden bescherming bieden tegen GDPR-gerelateerde risico’s. 
  • Waak over hun vorderingen op het vlak van compliance. Voer audits uit voor de voornaamste leveranciers.
  • Organiseer workshops over de GDPR-verordening voor sales en marketing. 

3. Breng uw gegevens in kaart 

Identificeer over welke gegevens uw organisatie beschikt. Zorg ervoor dat u weet waar ze vandaan komen, hoe u van plan bent ze te gebruiken en met wie ze worden gedeeld. 

Takenlijst 

  • Voer een gegevensaudit uit om uw gegevens en de redenen waarvoor u ze gebruikt te evalueren.
  • Identificeer uw risicogebieden en onderneem de nodige stappen om in orde te zijn.
  • Zorg ervoor dat u over een juridische basis beschikt om de gegevens te gebruiken.
  • Als u gegevens ontvangt van derden, controleer dan hun nauwkeurigheid en legaliteit.
  • Verwijder alle gegevens die overbodig of gedateerd zijn.
  • Zorg ervoor dat u over een duidelijk beleid beschikt met betrekking tot hoelang informatie wordt bijgehouden. 

4. Creëer gegevensregisters en werk ze bij 

De GDPR-verordening eist dat bedrijven registers bijhouden van alle gegevens die ze verwerken. Organisaties moeten hun aansprakelijkheid en compliance kunnen aantonen. 

Takenlijst 

Creëer en onderhoud een gegevensregister met de volgende elementen: 

  • De naam en contactinformatie van de organisatie en de DPO (indien van toepassing)
  • Een beschrijving van de categorieën van persoonsgegevens
  • Het doel van de gegevensverwerking
  • De categorieën van betrokkenen en ontvangers van gegevens
  • Overdrachten van persoonsgegevens aan derden
  • Een algemene beschrijving van de veiligheidsmaatregelen van de organisatie 

5. Werk uw beleidslijnen voor gegevensbescherming bij 

In het kader van de GDPR-verordening moet u niet alleen voldoen aan de nieuwe wetten inzake gegevensbescherming maar dit ook bewijzen. U moet niet alleen de gegevensregisters bijhouden[1] maar ook uw beleidslijnen en procedures bijwerken (of herzien). 

Takenlijst 

Achterhaal samen met een advocaat of uw beleidslijnen inzake gegevensbescherming voldoen aan de GDPR-verordening. 

Zorg ervoor dat uw beleidslijnen de volgende aspecten dekken: 

  • Wie is verantwoordelijk voor de gegevensverwerking, beveiliging en andere belangrijke punten van de GDPR-verordening
  • Hoe inbreuken identificeren en wat doet u eraan
  • Hoe toegangsverzoeken van betrokkenen beantwoorden
  • Hoe te werk gaan indien een toestemming wordt ingetrokken
  • Wat moet worden opgenomen in privacyverklaringen; gebruik beknopte, duidelijke, eenvoudig te begrijpen taal
  • Hoe voldoen aan de vereisten van klanten inzake de overdraagbaarheid van gegevens, het recht om gewist te worden, geïnformeerd te worden, verzet aan te tekenen of gegevens recht te zetten, enz.
  • Beschrijf alle wettelijke basissen, waaronder de toestemming, het vitale belang en het algemeen belang voor een wettelijke gegevensverwerking 

6. Verkrijg de toestemming voor gegevensverwerking 

Om te voldoen aan de GDPR-verordening, moeten bedrijven nagaan hoe ze de toestemming van betrokkenen verkrijgen, beheren en registreren[2]. Ze moeten ook de vijf andere wettelijke basissen aanpakken, zoals wettelijke gegevensverwerking en gerechtvaardigde belangen als wettelijke basis voor de verwerking. 

Volgens de nieuwe wet op de gegevensbescherming moet de toestemming duidelijk, specifiek, met kennis van zaken en zonder druk gegeven zijn. Ze moet ook controleerbaar zijn. Individuen hebben het recht om op elk moment hun toestemming in te trekken. 

Takenlijst 

  • Herzie uw bestaande processen om toestemming te verkrijgen.
  • Definieer de opt-in-status voor alle contacten.
  • Evalueer uw bestaande database. Bepaal of de betrokkenen wel of niet hun toestemming hebben gegeven voor de verwerking van persoonlijke informatie.
  • Voordat u nieuwe campagnes start, moet u ervoor zorgen dat uw marketingactiviteiten voldoen aan de GDPR-verordening.
  • Plaats een link naar uw bijgewerkte privacy pagina op alle inschrijvingsformulieren.
  • Zorg ervoor dat al uw formulieren op uw website een expliciete opt-in-functie hebben.
  • Biedt duidelijke manieren aan om zich uit te schrijven en toestemming in te trekken.
  • Maak van toestemming geen voorvereiste voor dienstverlening. 

7. Beheer informatieverzoeken 

Wanneer de GDPR-verordening van kracht wordt, zullen alle organisaties informatieverzoeken binnen de maand moeten beantwoorden. 

Takenlijst 

  • Richt een landingspagina voor informatieverzoeken in.
  • Biedt individuen opties om gegevens te laten bijwerken of verwijderen als ze dat wensen.
  • Maak het voor klanten gemakkelijker om hun e-mail abonnement te beheren.
  • Bekijk elk verzoek manueel en antwoord binnen de maand. 

8. Bereid u voor op beveiligingsinbreuken 

Een van de voornaamste punten van de GDPR-verordening is de beveiliging van gegevens. Ongeacht het type of de grootte van uw bedrijf, is het verplicht om persoonlijke gegevens veilig te bewaren en inbreuken op de beveiliging binnen 72 uur te melden[3]

Takenlijst 

  • Ontwikkel een plan voor de behandeling van beveiligingsinbreuken.
  • Zorg voor een geschikt versleutelingsniveau voor alle toestellen van uw bedrijf.
  • Overweeg om tweewegs-authenticatie te gebruiken voor al uw werknemers.
  • Zorg ervoor dat uw IT-infrastructuur veilig is. Ga na of er risicovolle gebieden zijn en beveilig ze.
  • Of u nu overschakelt op nieuwe systemen of oude systemen upgradet, veiligheid moet altijd ingebouwd zijn.
  • Alle bestanden, servers en computers moeten tegen ongeoorloofd gebruik beveiligd zijn. 

9. Let op bijzondere GDPR-vereisten 

De Algemene Verordening Gegevensbescherming van de EU stelt dat elk bedrijf dat digitale diensten levert aan kinderen hun leeftijd moet controleren en de toestemming van een ouder of voogd moet verkrijgen om hun gegevens te verwerken[4]. Enkel kinderen van 16 jaar of ouder zijn wettelijk gezien in staat om hun toestemming te geven. 

Takenlijst

  • Zorg ervoor dat u over de nodige systemen beschikt om de leeftijd van een persoon te controleren.
  • Verkrijg altijd de toestemming van de voogd of ouder alvorens gegevens van kinderen te verwerken.
  • Voor kinderen bedoelde privacyverklaringen moeten kindvriendelijk zijn. 

10. Stel een DPO aan 

Organisaties die speciale categorieën van persoonsgegevens verwerken, zoals gegevens in verband met misdrijven en veroordelingen, moeten een Data Protection Officer aanduiden. Hetzelfde geldt voor overheidsinstanties en bedrijven die grote hoeveelheden gegevens verwerken. 

Zelfs als u niet tot een van deze categorieën behoort, kan een DPO ervoor zorgen dat uw organisatie voldoet aan alle regels inzake gegevensbescherming. Zijn of haar rol bestaat erin zowel de gegevens als de processen om aan te regelgeving te voldoen te beheren en te monitoren. 

Takenlijst 

  • Bepaal of u wel of niet een DPO moet aanstellen. Het individu dat deze rol zal uitoefenen kan een externe dienstleverancier of een personeelslid zijn. Hij of zij zal aan het hoogste managementniveau rapporteren.
  • Als u geen DPO nodig hebt, zorg er dan voor dat iemand in de organisatie verantwoordelijk is voor de gegevensbescherming.
  • Geef de DPO de nodige middelen om zijn/haar taken uit te voeren.

 

[1] https://gdpr-info.eu/art-30-gdpr/

[2] https://gdpr-info.eu/art-7-gdpr/

[3] https://gdpr-info.eu/art-33-gdpr/

[4] https://gdpr-info.eu/art-8-gdpr/.