Volledige GDPR compliance in 10 stappen

Iedere organisatie verwerkt persoonsgegevens. Door de invoering van de General Data Protection Regulation (kortweg GDPR) moeten organisaties aan veel voorwaarden voldoen op het gebied van gegevensverwerking. Een overtreding zit dan in een klein hoekje, terwijl een overtreding wel een flinke boete kan betekenen. Daarom helpen wij uw organisatie met dit stappenplan zodat u kunt voldoen aan de GDPR compliance.

GDPR compliant worden: 10 stappenplan

Voldoen aan de richtlijnen van GDPR is een absolute vereiste voor iedere organisatie die gegevens van EU-inwoners verwerkt. Daarbij valt onder ‘persoonsgegevens’ meer dan vaak wordt gedacht. Als uw organisatie ingevulde formulieren, e-mailadressen of de bezoekersstatistieken van de website bijhoudt, is er al sprake van gegevensverwerking. Deze verwerking van gegevens moet altijd volgens bepaalde richtlijnen plaatsvinden.

Om uw organisatie te ondersteunen bij het volledig GDPR compliant maken, zetten wij de belangrijkste informatie over GDPR compliance voor u op een rij.

Wat is GDPR?

De GDPR, oftewel General Data Protection Regulation, wordt in het Nederlands ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Dit is de EU-brede privacywetgeving die op 25 mei 2018 in werking is getreden. Deze wet is bedoeld om de persoonsgegevens van EU-inwoners te beschermen.

De GDPR geldt voor alle organisaties die persoonsgegevens bewaren en/of verwerken. Het gaat dan niet alleen om organisaties binnen de EU, maar ook om organisaties buiten de EU die gegevens van EU-inwoners verwerken. De GDPR is niet alleen van toepassing op grote bedrijven, maar ook op bijvoorbeeld stichtingen, verenigingen en zzp’ers.

Waarom GDPR?

De GDPR is in het leven geroepen omdat de oude privacywetgeving niet meer afdoende was in het huidige digitale tijdperk. Door het internet zijn er steeds meer digitale persoonsgegevens in omloop. Voorbeelden daarvan zijn contactgegevens die digitaal worden vastgelegd, IP-adressen en bepaalde cookies die in de browser worden opgeslagen. De GDPR is ontwikkeld om onder andere deze gegevens te beschermen en om misbruik van die gegevens te voorkomen.

Dankzij de GDPR is voortaan in alle EU-lidstaten dezelfde wetgeving voor privacy van toepassing. Dit betekent dat alle EU-organisaties nu een helder kader hebben voor de manier waarop zij persoonsgegevens verzamelen. Daarmee maakt de GDPR de handhaving van de privacywetgeving binnen overheden eenvoudiger dan toen elke EU-lidstaat zijn eigen wetgeving voor de bescherming van persoonsgegevens had.

Waarom is GDPR compliance belangrijk?

Door de GDPR hebben klanten en medewerkers meer rechten met betrekking tot hun gegevens. Zo mogen klanten en medewerkers hun gegevens altijd inzien en kunnen zij te allen tijde aan een organisatie vragen om hun gegevens te verwijderen. Dat brengt voor organisaties extra verplichtingen met zich mee. Iedere organisatie moet bijvoorbeeld een privacybeleid bijhouden en moet voor de verwerking van sommige gegevens toestemming vragen van de persoon van wie de gegevens zijn.

GDPR compliant zijn, oftewel aan de verplichtingen voldoen, is heel belangrijk voor organisaties. Bij het niet voldoen aan de wetgeving riskeert uw organisatie hoge boetes van maximaal € 20.000.000,- of 4% van de jaaromzet van uw organisatie. Daarnaast is GDPR compliance essentieel om zeker te weten dat uw organisatie op een veilige en goede manier met persoonsgegevens omgaat en dat de verwerkingsprocessen aan de geldende richtlijnen voldoen.

Belangrijkste GDPR-richtlijnen

In grote lijnen gaat de GDPR vooral over bewustwording. Organisaties moeten door de invoering van de GDPR meer nadenken over welke gegevens zij verwerken, waarom ze dit doen en hoe ze dit precies doen. Een aantal belangrijke inhoudelijke punten van de GDPR zijn:

  • Iedere organisatie moet de persoonsgegevens die zij verwerkt, beperken tot alleen die gegevens die echt nodig zijn.
  • Iedere organisatie moet inzicht hebben in de risico’s die het verzamelen en verwerken van deze gegevens met zich meebrengt en moet die risico’s zoveel mogelijk beperken.
  • In sommige situaties mag een organisatie alleen persoonsgegevens verwerken waarvoor de persoon van wie die gegevens zijn actief toestemming heeft gegeven.
  • Iedere organisatie moet op een passende manier bijhouden welke gegevens zij verwerkt en moet die gegevens kunnen overhandigen aan de persoon van wie ze zijn als diegene daarom vraagt. Ook moet de organisatie deze gegevens verwijderen als de persoon in kwestie daarvoor een verzoek indient.
  • Iedere organisatie moet inzicht hebben in andere instellingen die in opdracht van hen persoonsgegevens verwerken.

Checklist voor GDPR compliance

GDPR compliance bereiken is niet eenvoudig, omdat u hiervoor met veel zaken rekening moet houden. Wij helpen uw organisatie hierbij graag op weg met een checklist voor GDPR compliance. Hiermee kan uw organisatie in 10 stappen voldoen aan de GDPR.

Stap 1: stel een register van verwerkingen op

Een belangrijke eerste stap is bepalen hoe uw organisatie persoonsgegevens verwerkt en welke persoonsgegevens dat zijn. Vaak is het verplicht om deze informatie in een register van verwerkingen op te nemen en dit register voortdurend bij te houden. In dit register staat vermeld welke gegevens uw organisatie precies verwerkt, wat het doel van de verwerking is, van welke bron de gegevens komen, of er andere partijen bij betrokken zijn en hoe lang de gegevens worden bewaard.

Als uw organisatie gegevens verzamelt die eigenlijk niet nodig zijn, dan is er geen gegronde reden om die gegevens nog te verzamelen.

Stap 2: krijg inzicht in waar gegevens zijn opgeslagen

Persoonsgegevens mogen niet zomaar overal worden opgeslagen. Het is niet toegestaan persoonsgegevens met alle mogelijke landen te delen. Uw organisatie mag gegevens alleen delen met landen die als veilig aangemerkt worden (zie deze pagina voor meer informatie), tenzij anders aangegeven in uw privacystatement.

Stap 3: voer een Data Protection Impact Assessment uit

Een Data Protection Impact Assessment geeft inzicht in de risico’s die de verwerking van gegevens binnen een bepaald project voor uw organisatie heeft. Bij dit assessment wordt onder andere vastgesteld wat de impact van het project is en hoe uw organisatie eventuele risico’s kan mitigeren. In sommige gevallen is zo’n Data Protection Impact Assessment verplicht. Daarover kunt u meer lezen op de site van de Autoriteit Persoonsgegevens.

Als uit het Assessment blijkt dat een project hoge risico’s met zich meebrengt, dan moet uw organisatie voor de uitvoering van het project eerst toestemming vragen aan de Autoriteit Persoonsgegevens. Die zal bepalen of deze vorm van verwerking van gegevens is toegestaan volgens de GDPR.

Stap 4: pas op met bijzondere persoonsgegevens

Sommige organisaties verwerken bijzondere persoonsgegevens, oftewel extra gevoelige gegevens waarvan de verwerking veel invloed kan hebben op iemands privacy. Bij bijzondere persoonsgegevens gaat het bijvoorbeeld om gegevens over iemands godsdienst, seksuele geaardheid, gezondheid of lidmaatschap van bepaalde verenigingen. Voor de verwerking van deze gegevens gelden strenge voorwaarden. Het is belangrijk dat uw organisatie, als zij bijzondere persoonsgegevens verwerkt, aan die voorwaarden voldoet.

Stap 5: vraag waar nodig om toestemming

Uw organisatie mag niet zomaar persoonsgegevens verwerken. Bijvoorbeeld als de gegevens van een persoon absoluut nodig zijn om een bepaalde dienst te leveren, hoeft uw organisatie voor de verwerking geen expliciete toestemming te vragen. Voor andere gegevens kan het nodig zijn om expliciete toestemming van de persoon te verkrijgen voordat de data verwerkt mag worden.

Let op: voor verwerking van gegevens van jongeren onder de 16 jaar moet de ouder of verzorger van de persoon in kwestie expliciete toestemming geven.

Stap 6: sluit verwerkersovereenkomsten met derden

Als er derde partijen zijn die namens uw organisatie persoonsgegevens verwerken, dan geldt de GDPR ook voor deze andere partijen. Uw organisatie is in dat geval verplicht met deze partijen een verwerkersovereenkomst te sluiten die voldoet aan de eisen van de GDPR, zodat zeker is dat ook deze partijen persoonsgegevens op een correcte manier verwerken. Het blijft overigens de eindverantwoordelijkheid van uw organisatie dat gegevens door ingeschakelde derden op een GDPR-compliant manier worden verwerkt.

Ook eerder gesloten verwerkersovereenkomsten met derde partijen moeten aan de GDPR-richtlijnen voldoen. Het loont dus om eerdere verwerkersovereenkomsten nog een keer kritisch te toetsen aan de eisen van de GDPR.

Stap 7: benoem eventueel een Functionaris Gegevensbescherming

Voor sommige organisaties is het verplicht een Functionaris Gegevensbescherming (in het Engels ook wel Data Protection Officer, DPO, genoemd) aan te stellen. Dit geldt voor alle organisaties die als (onderdeel van) kernactiviteit op grote schaal individuen volgen of de activiteiten van individuen in kaart brengen.

De FG ziet erop toe dat persoonsgegevens binnen uw organisatie verwerkt worden conform GDPR vereisten. Hierbij geeft de FG advies over de verplichtingen die de GDPR met zich meebrengt en kan hij of zij verzoeken van individuen met betrekking tot hun gegevens afhandelen.

Stap 8: check of gegevens voldoende beveiligd zijn

Uw organisatie moet er zelf voor zorgen dat persoonsgegevens goed beveiligd zijn. In het algemeen is het belangrijk voor organisaties om gegevens zo goed mogelijk te beschermen met alle mogelijke middelen. Vermeld altijd in het privacy statement welke stappen uw organisatie heeft ondernomen om persoonsgegevens zo goed mogelijk te beschermen.

Stap 9: stel een correct privacy statement op

In een privacy statement legt uw organisatie alle mogelijke informatie vast over hoe er met de privacy van klanten, medewerkers of andere betrokkenen wordt omgegaan. Dit statement is bedoeld om te zorgen voor transparantie tussen klanten of andere betrokkenen en uw organisatie. Naast alle vereiste informatie, is het van belang dat het statement volledig is en in begrijpelijke taal is geschreven.

In een privacy statement moet onder meer informatie over de volgende punten komen te staan:

  • Welke soorten persoonsgegevens verwerkt uw organisatie?
  • Met welk doel verwerkt uw organisatie deze gegevens?
  •  Wat is de bewaartermijn van deze gegevens?
  • Welke rechten hebben betrokkenen?
  • Hoe kunnen betrokkenen een verzoek of klacht indienen, bijvoorbeeld om gegevens in te zien of te laten verwijderen?
  • Welke andere personen of instanties hebben toegang tot de persoonsgegevens? Als daar ook organisaties buiten de EU onder vallen, moet dit apart in het privacy statement vermeld worden.

Stap 10: houd (mogelijke) datalekken bij

Iedere organisatie is verplicht het eventueel lekken van bepaalde persoonsgegevens, bijvoorbeeld door een hackpoging, te registreren. Het is afhankelijk van de aard en van de gevolgen van het lek of uw organisatie het lek ook bij de Autoriteit Persoonsgegevens moet melden (daarover kunt u hier meer lezen).

In ieder geval is uw organisatie verplicht het lek te noteren in een incidentenregister, waarbij wordt vermeld wat voor datalek heeft plaatsgevonden, wie erbij betrokken zijn, wat de mogelijke gevolgen zijn en welke stappen uw organisatie heeft genomen om het lek aan te pakken.

GDPR compliance, wat houdt het concreet in?

Concreet komt GDPR compliance neer op een procedure waarbij uw organisatie zes vragen afhandelt.

1. Welke data zijn persoonlijke gegevens?

Als eerste stap bepaalt u welke gegevens uw organisatie verwerkt van individuen binnen de EU en in welke gevallen het om persoonsgegevens gaat. Vervolgens maakt u een overzicht van de persoonsgegevens die uw organisatie verwerkt, waarbij u zo gedetailleerd mogelijk in kaart brengt welke gegevens worden verzameld en hoe lang die gegevens bewaard blijven.

2. Is GDPR van toepassing?

Daarna is het van belang om na te gaan of uw organisatie gegevens verzamelt die uw organisatie met het oog op haar kernactiviteiten niet zonder meer mag verzamelen. Als dat het geval is, dan is op deze gegevens de GDPR van toepassing. Dit betekent dat uw organisatie deze gegevens pas mag verwerken zodra hier een geldende rechtsgrond voor is.

3. Welke gegevens zijn bijzondere persoonsgegevens?

In onder meer gezondheidsorganisaties is sprake van bijzondere persoonsgegevens. Het is belangrijk om uitgebreid in kaart te brengen welke bijzondere persoonsgegevens uw organisatie verwerkt en hoe die gegevens worden opgeslagen en beschermd.

4. Hoe ziet de data flow eruit?

Een data flow maakt in één oogopslag duidelijk welke gegevens uw organisatie verwerkt. Op een dergelijk overzicht geeft uw organisatie nauwkeurig aan waar ze bepaalde gegevens verwerken. Het is aan te raden om daarbij een duidelijke categorisering van informatie te hanteren. Hierbij geeft u bijvoorbeeld aan welke soorten informatie uw organisatie precies verwerkt en kunt u de details van die verwerking het beste per categorie zo concreet mogelijk in kaart brengen.

5. Hoe goed is het informatiebeveiligingsbeleid en wat kan beter?

Verder is het belangrijk om een kritische blik te werpen op hoe uw organisatie met persoonsgegevens omgaat en het informatiebeveiligingsbeleid waar nodig te verbeteren. Bekijk bijvoorbeeld kritisch of uw organisatie daadwerkelijk alle gegevens nodig heeft die zij verwerkt en of alle gegevens voldoende beveiligd zijn. Verder is het essentieel om te checken of er verwerkersovereenkomsten zijn gesloten met alle derde partijen aan wie uw organisatie gegevens verstrekt.

6. Is uw organisatie na verloop van tijd nog steeds compliant?

GDPR compliance betekent dat uw organisatie niet alleen op dit moment aan de richtlijnen voldoet, maar voortdurend monitort of de organisatie na verloop van tijd nog steeds in lijn handelt met de gestelde eisen. Het is belangrijk dat uw organisatie regelmatig controleert of er nog steeds sprake is van GDPR compliance, zodat er op tijd actie kan worden ondernemen.

Conclusie

GDPR compliance kan best ingrijpend zijn voor uw organisatie. De GDPR geeft individuen binnen de EU extra rechten en legt uw organisatie daarmee bepaalde verplichtingen op. Het is heel belangrijk dat uw organisatie zich daaraan houdt, omdat u anders hoge boetes riskeert.

Uw organisatie moet op veel zaken letten om aan de GDPR-richtlijnen te voldoen. Daarbij is vooral inzicht in de gegevens die uw organisatie verwerkt heel belangrijk. Ook moet helder zijn welke gegevens uw organisatie aan derden verstrekt en moet uw organisatie met die partijen een verwerkersovereenkomst hebben gesloten. Daarnaast is het van groot belang dat uw organisatie transparant is over de verwerking van gegevens in een privacy statement dat in heldere taal is geschreven.

Deze checklist voor GDPR compliance biedt u handvatten om met de GDPR binnen uw organisatie aan de slag te gaan.

Loopt u ergens tegenaan of heeft u hulp nodig bij een bepaald onderdeel? Onze GDPR Consultants helpen u graag. Neem contact met ons op via 085 071 1080 en maak een afspraak.

Voorkom een boete, zorg dat uw organisatie volledig GDPR-proof is.

avg_audit1
Privacy consultant DPO consultancy