GDPR Checklist

De GDPR checklist: in 12 stappen naar compliancy

De deadline voor het naleven van de General Data Protection Regulation (GDPR) nadert. Op 25 mei 2018 is deze nieuwe wetgeving van toepassing in de hele Europese Unie. Waar sommige organisaties alle voorbereidingen inmiddels hebben getroffen, begint voor anderen de tijd te dringen om op tijd te voldoen aan de strengere regelgeving rondom het opslaan en verwerken van privacygevoelige persoonsgegevens. Ongeacht wat de rest van de markt doet, wil je zelf natuurlijk niets aan het toeval overlaten. Het niet na-leven van de regels kan namelijk leiden tot hoge boetes.

Maar nog belangrijker: als jouw organisatie zich op het gebied van privacy in positieve zin kan onderscheiden van de concurrentie, dan heb je een belangrijke voorsprong. Zorg er dus voor dat je op tijd begint. Maar hoe weet je in hoeverre jouw organisatie al compliant is aan de GDPR?

Om je te helpen met de voorbereiding, heeft Macaw een checklist samengesteld met de belangrijkste 12 punten om rekening mee te houden:

  1. Ik heb een duidelijke GDPR roadmap opgesteld
    Als het om de GDPR gaat is het vrijwel onmogelijk om je bedrijf in één keer compliant te maken. Daarom doe je er goed aan een stapsgewijs plan uit te stippelen. Het opstellen van een roadmap met duidelijke doelen, afgebakende faseringen en een draaiboek voor verschillende mogelijke scenario’s helpt je om structuur aan te brengen in het compliancy-traject. Stel hierin vast waar de grootste winst ligt en wat de grootste risico’s zijn.

  2. Ik weet precies waar de persoonsgegevens zijn opgeslagen
    Heeft jouw organisatie de verwerkte persoonsgegevens on-premise opgeslagen, in de cloud of allebei? Volgens de GDPR dien je precies in kaart brengen waar dit is gebeurd, zodat de informatie te allen tijde eenvoudig teruggevonden kan worden.

    Wat verstaan we eigenlijk onder persoonsgegevens? 
    Om je beleid op te stellen met betrekking tot de opslag en verwerking van persoonsgegevens, is het verstandig om eerst voor je organisatie af te bakenen wanneer iets gekwalificeerd wordt als ‘privacygevoelige persoonsgegevens’. Geldt een functietitel gekoppeld aan een bedrijfsnaam en een e-mailadres al als privacygevoelig? Of moet er dan nog een telefoonnummer bijstaan? De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. 

  3. Ik weet precies wie er toegang heeft tot welke gegevens (en waarom)
    Persoonsgegevens dienen rechtmatig verwerkt te worden. Stel jezelf hierbij de vraag: ‘Wie heeft op basis van welke grondslag welke persoonsgegevens op welke manier verwerkt?’ Dit geldt niet alleen voor mensen binnen je organisatie, maar ook voor gegevensverstrekking aan je partners. Bepaal hierbij dus wie van de partners er in jouw opdracht persoonsgegevens verwerken en of je de juiste verwerkingsovereenkomst hebt met deze partijen.

  4. Ik weet precies wat er met de gegevens gedaan wordt
    Het opslaan van persoonsgegevens is één aspect, maar het gebruiken van persoonsgegevens is net zo belangrijk (zo niet belangrijker). Niet elk gebruik weegt even zwaar voor de GDPR: hier dien je in je privacybeleid rekening mee houden. Wist je bijvoorbeeld dat profiling, het opbouwen van een profiel bij klanten of prospects op basis van bijzondere persoonsgegevens, als hoog-risicodragend gezien wordt door de GDPR?

  5. Ik heb de best mogelijke gegevensbeveiliging gerealiseerd
    Het is verstandig om het informatiebeveiligingsbeleid van je organisatie nog eens kritisch onder de loep te nemen voor de GDPR zijn intrede doet. Zijn er bijvoorbeeld eisen die de GDPR stelt wat betreft cybersecurity die nog niet aanwezig zijn in je infrastructuur? Onderneem dan tijdig actie!

  6. Ik communiceer open en duidelijk richting alle betrokkenen
    Als je aan alle partijen waarvan je gegevens gebruikt kunt uitleggen hoe jouw organisatie omgaat met hun privacy, dan heb je al een belangrijke stap gezet richting compliancy. Zorg dus dat je een helder verhaal hebt en je aan kunt tonen dat de organisatie zich volledig aan de regels houdt. Op die manier ben je voorbereid op het moment dat iemand er naar vraagt. Je kunt er ook voor kiezen om dit actief uit te dragen en mogelijke vragen voor te zijn. Dit kun je inzetten als een positief en onderscheidend punt ten opzichte van de concurrentie.

  7. Betrokkenen hebben toestemming gegeven voor het verwerken van hun gegevens en weten dat ze deze mogen intrekken
    Het begrip ‘consent’ (toestemming op verwerking van persoonsgegevens) is één van de fundamentele rechten van EU-inwoners die vastgelegd is in de GDPR. Je mag gegevens nergens anders voor gebruiken dan het doel waarvoor ze ingewonnen zijn, tenzij je daar expliciet toestemming voor gevraagd hebt. Deze kan ook weer ingetrokken worden door de betrokkene. Bijvoorbeeld: als iemand zich ingeschreven heeft voor een nieuwsbrief, mag je diegene uitsluitend nieuws sturen. Andere (bijvoorbeeld commerciële) boodschappen zijn niet toegestaan. Door hier zo duidelijk en transparant mogelijk in te zijn, laat je zien dat je de klant en zijn privacy serieus neemt.

  8. Ik kan gegevens van betrokkenen direct verwijderen als zij daar om vragen
    Kun je aan je klanten en medewerkers aantonen hoe je invulling hebt gegeven aan het ‘right to be forgotten’? In de GDPR zijn organisaties verplicht om op verzoek persoonsgegevens te verwijderen die voor de bedrijfsvoering niet langer noodzakelijk zijn. Het is dus van belang dat je in staat bent dit uit te voeren, zonder dat dit bedrijfsprocessen hindert.

  9. Ik heb een draaiboek voor het omgaan met datalekken
    De meldplicht datalekken kan bijna niet los gezien worden van de GDPR. Wanneer er een datalek plaatsvindt in jouw organisatie, of bij een partij die uit jouw naam persoonsgegevens verzamelt, ben je verplicht dit meteen te melden bij de Autoriteit Persoonsgegevens. Zorg dat je hier op voorbereid bent met een draaiboek en maak duidelijke afspraken met partijen die uit jouw naam persoonsgegevens verwerken.

  10. Ik heb één of meerdere mensen verantwoordelijk gemaakt voor het GDPR-beleid
    Volgens de GDPR hebben overheidsinstellingen en bedrijven die zich toeleggen op extra privacygevoelige activiteiten tenminste één Data Privacy Officer nodig binnen de organisatie. Deze is verantwoordelijk voor het gehele privacybeleid rondom persoonsgegevens. Bepaal of deze situatie op jouw organisatie van toepassing is en waar deze functionaris in dat geval aan moet voldoen.

  11. Ik heb mijn medewerkers opgeleid om verantwoord om te gaan met persoonsgegevens
    De GDPR handhaven zonder cultuurverandering is kansloos. Het is onmogelijk (en onwenselijk) om een security officer neer te zetten bij elk kantoorblok, om in de gaten te houden of je medewerkers zich wel aan de GDPR-afspraken houden. Bewustwording van je medewerkers is daarom een belangrijke stap op weg naar compliancy. Zorg dus voor trainingen en naslagdocumenten om hen de mogelijkheid te geven de regels zo goed mogelijk na te leven. Compliancy is een verantwoordelijkheid van de hele organisatie!

  12. Ik heb mijn privacyrisico’s in beeld gebracht door middel van een Privacy Impact Assessment (PIA)
    Het uitvoeren van een Privacy Impact Assessment stimuleert je na te denken over de impact van je organisatie en haar activiteiten op de privacy van de betrokkenen. Hierbij brengt het de risico’s in kaart voor zowel de betrokkenen als voor je organisatie zelf. Het uitvoeren van de PIA is een efficiënt hulpmiddel om aan te tonen dat je bedrijf voldoet aan de GDPR-eisen en zorgvuldig omgaat met de persoonsgegevens van je klanten en medewerkers. 

Met vertrouwen de GDPR tegemoet

Heb je alle punten op orde? Of twijfel je nog? We helpen je graag, zodat je met vertrouwen toe kunt leven naar 25 mei. Schroom niet en neem vrijblijvend contact op met onze expert, voor de beste GDPR-oplossingen voor jouw organisatie. Stel hieronder je vraag aan onze expert! 

Wil je de checklist delen of printen? Download de PDF-versie hier.

Macaw

Diederik van Kuilenburg
Enterprise Architect

What's your challenge?