GDPR checklist: ben jij klaar voor 25 mei?

gdpr checklist banner.png

Help, de GDPR komt eraan!


Een tijdje geleden schreven we al een blogpost over de GDPR of General Data Protection Regulation, de nieuwe privacywetgeving binnen de Europese Unie. Daarin hebben we al uitgebreid uitgelegd wat deze regulering precies inhoudt en met welke principes je allemaal rekening moet houden. We raden je dus zeker aan om eerst die blog nog eens na te lezen.

Nu de deadline dichterbij komt, merken we dat heel wat bedrijven wat nerveus worden. Er doet heel wat de ronde over de GDPR, ook veel foute informatie en pure bangmakerij. Daarom hebben we in deze checklist nog wat praktische tips samengevat. Zo kan je met een gerust hart richting 25 mei gaan!

Voor wie geldt de GDPR?

De GDPR geldt voor alle organisaties, groot en klein, die op een geautomatiseerde of een gestructureerde manier persoonsgegevens verwerken van burgers van de Europese Unie. Zo goed als alle bedrijven dus, maar evengoed ook een lokale sportvereniging. Zelfs als je enkel een lijst met namen van klanten of leden hebt, dan valt dit al onder persoonsgegevens.

Let op: het gaat hierbij enkel om gegevens van natuurlijke personen. Gegevens zoals bijvoorbeeld het mailadres info@sociallemon.be behoren niet tot een natuurlijk persoon maar een onderneming, en vallen dus niet onder deze wetgeving.

De GDPR is dus hoogstwaarschijnlijk ook van toepassing op jouw bedrijf. Je zal moeten kunnen aantonen welke persoonsgegevens je verzamelt, hoe je deze data gebruikt en hoe je ze beveiligt, anders maak je kans op een fikse boete (tot 4% van de jaaromzet of maximum 20 miljoen euro!).

GDPR checklist:

  • Voer een volledige data audit uit om het dataverwerkingsproces van je bedrijf gedetailleerd in kaart te brengen. Onderzoek volgende vragen: Welke databases bezit je? Wie beheert deze? Hoe komen gegevens erin terecht? Wie heeft toegang tot de databanken? Wat gebeurt er met die data? Controleer of bestaande data correct verworven werd. Focus je niet alleen op marketing- of klantendatabases, ook gegevens van HR vallen hieronder.
     
  • De audit is een goed begin. Blijf ook daarna alles documenteren wat je doet inzake de verwerking van persoonsgegevens in een dataregister. De GDPR legt namelijk heel erg de nadruk op je plicht om alles te kunnen verantwoorden. In het dataregister verzamel je op een overzichtelijke manier welke gegevens je verwerkt en op basis van welke grondslag. Je bepaalt waar ze vandaan komen en met wie ze gedeeld worden. Wanneer je controle krijgt of er is sprake van een datalek, is het dataregister noodzakelijk om te bewijzen dat je in orde bent met de regulering en dat je passende maatregelen getroffen hebt.
     
  • Maak gebruik van SSL of Secure Socket Layer. Dit certificaat moet de bezoeker van een site garanderen dat er niemand kan meelezen, dat hun gegevens beveiligd zijn en dat ze met de juiste website aan het praten zijn. Je kan de beveiliging herkennen aan de url https:// en het groene slotje dat naast de url staat. Als je formulieren of nieuwsbriefaanmeldingen opslaat via je site, dan is een HTTPS-verbinding verplicht. Bovendien zal Google binnenkort je website als onveilig markeren wanneer je er geen gebruik van maakt.
     
  • In sommige gevallen is het verplicht een DPO of Data Protection Officer aan te duiden, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Bijvoorbeeld als je bijzondere persoonsgegevens op grote schaal verwerkt, als de verwerking van persoonsgegevens om andere redenen een hoog risico met zich meebrengt,... Dit is bv. vaak het geval bij openbare overheden.
     
  • Vraag je gegevens van personen, zorg dan dat je formulieren hiervoor in orde zijn. Dataminimalisatie is hierbij het kernwoord. Vraag dus enkel de strikt noodzakelijke gegevens (bv. naam en e-mailadres) en maak duidelijk waarvoor je die zal gebruiken. Wil je ze ook voor iets anders gebruiken? Dan moet je daarvoor opnieuw expliciet toestemming vragen.

    Hierbij is het heel belangrijk dat je steeds gebruik maakt van een opt-in aanvinkoptie. Je mag dus geen gebruik meer maken van het opt-outprincipe, bv. door automatisch aan te vinken dat mensen zich willen inschrijven voor de nieuwsbrief. Toestemming moet steeds ondubbelzinnig zijn, concreet, expliciet, geïnformeerd, uitdrukkelijk, enz. Bewaar de opt-in en hoe deze verkregen is steeds zodat je kan aantonen dat er toestemming is gegeven indien nodig.
     
  • Een veelgestelde vraag: mag je gegevens die je doorheen de jaren verzameld hebt wel nog gebruiken of moet je echt aan iedereen opnieuw toestemming vragen om hen je nieuwsbrief te mogen sturen? Het is geen onverstandige zet om een mailing uit te sturen naar alle betrokkenen in je databank en hen om een nieuwe opt-in te vragen.

    Toestemming is echter niet de enige legitieme grond voor verwerking, er zijn nog 5 andere rechtsgronden voor de verwerking onder de GDPR: vitale belangen, wettelijke verplichting, noodzakelijk voor de uitvoering van een overeenkomst, algemeen belang en gerechtvaardig belang. Ook het verwerken van gegevens voor direct marketing kan als een gerechtvaardigd belang gezien worden. Hierbij moet de communicatie wel voortvloeien uit verkoop - het gaat dus om bestaande klanten - en moet het over een gelijkaardige dienst of product gaan.
     
  • Bepaalde gegevens liggen gevoeliger dan andere. Persoonsgegevens zoals geloofsovertuiging, seksuele voorkeur, ras en medische of biometrische gegevens mogen minder snel verzameld worden dan algemene gegevens. Verzamel je gegevens van kinderen of jongeren onder de 16 jaar? Dan heb je (mede)toestemming nodig van een ouder of voogd.
     
  • Verwijder gegevens die je niet gebruikt. Mensen hebben ook recht op inzage, recht op rectificatie en het recht om vergeten te worden: ze moeten eenvoudig kunnen raadplegen over welke gegevens je beschikt, deze kunnen aanpassen en deze makkelijk kunnen laten verwijderen. Mensen kunnen dus ook hun toestemming intrekken om hun gegevens te gebruiken. Hoe dit allemaal kan vermeld je in je privacyverklaring, waarover verder meer. Ook bij e-mailmarketing moet het duidelijk zijn hoe mensen zich kunnen uitschrijven.
     
  • Wanneer je cookies gebruikt op je website, moet dit gemeld worden aan de bezoeker. Zorg voor een pagina met het cookiebeleid waarnaar je kan linken in de cookiemelding. Leg uit in begrijpelijke taal welke cookies gebruikt worden en waarom. Zorg dat duidelijk is welke rechten de bezoeker heeft. Voor iedere cookie die een bezoeker apart kan identificeren, moet hij of zij toestemming verlenen. Je zal dus niet meer ongevraagd mensen kunnen volgen over verschillende websites. 
     
  • Naast een cookiebeleid is ook een privacyverklaring een noodzakelijk juridisch document op je website. Daarin vertel je aan de bezoeker hoe jouw bedrijf omgaat met persoonsgegevens en informeer je hen over de toestemming die hij of zij verleent. Ook hier is duidelijke mensentaal en transparantie belangrijk.

    Samengevat beantwoord je volgende vragen: welke persoonsgegevens verzamel je? Waar verzamel je die en waarom? Wat gebeurt er met de gegevens? Hoelang zal je de gegevens opslaan? Welke derde partijen zijn betrokken bij het verwerkingsproces? Je vermeldt er best ook een contactpersoon voor als ze verdere vragen hebben (de DPO indien van toepassing voor jouw bedrijf) én hoe ze een klacht kunnen indienen.

    Belangrijk is dat de betrokkenen reeds over deze informatie beschikken op het moment dat je hun gegevens ontvangt, niet achterna. Het cookiebeleid en de privacyverklaring moeten duidelijk zichtbaar en eenvoudig te vinden zijn op je website. Zorg voor een eigen pagina, een link naar de privacyverklaring in de footer én op elke plek waar je persoonsgegevens verzameld.
     
  • Zorg voor een back-upsysteem zodat je data kan herstellen in het geval er iets mis loopt met je website. Want de veiligheid ervan is jouw verantwoordelijkheid. Zorg dus dat je jouw CMS en eventuele plugins op tijd updatet. Je kan ook werken met een websitebouwer of hostingbedrijf natuurlijk. Je bekijkt in dat geval best eens samen welke gegevens je verzamelt en waar dit gebeurt.

    Ook al besteed je jouw website uit, het is belangrijk dat je weet wat achter de schermen gebeurt en dat je partners ook compliant zijn met de nieuwe wetgeving. Je sluit best ook een verwerkersovereenkomst als je dienstverleners, zoals een marketingbureau of een websitebouwer, inschakelt die in jouw opdracht persoonsgegevens verwerken.
     
  • Verhoogde security maatregelen tegen hackers en datalekken moeten genomen worden. Stel dat je toch een datalek met risico's voor individuen ontdekt, dan ben je verplicht dit binnen 72 uur te melden. Alle partijen in kwestie moeten zonder vertraging ingelicht worden. Wees voorbereid en stel duidelijk richtlijnen op voor het geval dat jouw databases gehacked worden en persoonsgegevens mogelijks gestolen of verwijderd werden.
     
  • Zorg dat alle betrokkenen binnen jouw bedrijf op de hoogte zijn van wat de GDPR inhoudt. Niet enkel de zaakvoerder, maar iedereen die in contact komt met persoonsgegevens binnen een bedrijf moet weten wat mag en niet mag. Zorg dat iedereen op dezelfde lijn zit en jullie allemaal op een correcte manier omgaan met de gegevens van klanten of leads.
     
  • Denk na over manieren hoe je 'Privacy by design' kan hanteren bij nieuwe processen of producten. Besteed dus voldoende aandacht aan privacy verhogende maatregelen bij de ontwikkeling van nieuwe diensten of producten. Bijvoorbeeld het versleutelen van persoonsgegevens of het anonimiseren van data. 



Met deze checklist ben je al heel goed op weg om je klaar te stomen voor 25 mei. Zie de GDPR vooral als een opportuniteit: je zal je meer moeten focussen op persoonlijke communicatie met mensen die echt geïnteresseerd zijn. Grijp je kans om te tonen dat je een betrouwbaar bedrijf bent dat respectvol omgaat met de privacy van alle betrokkenen. Dit is zeker belangrijk in tijden waarin bedrijven zoals Facebook onder vuur liggen door de manier waarop ze met data omgaan.

 


Heb je een eigen zaak of help je mee met de marketing van jouw organisatie?  Door te investeren in kennis ben je al op de goeie weg om de kracht van sociale media te gebruiken en de naamsbekendheid van je bedrijf te verhogen. Neem contact op als wij jou kunnen verder helpen