Controleer uzelf of u GDPR compliant bent.

Met de hierna vermelde checklist kan u uw zaak controleren in hoeverre zij GDPR compliant is:

1. Hebt u een GDPR roadmap opgesteld?

Als je alle wijzigingen gezamenlijk wenst uit te voeren zal dit vermoedelijk een onhandelbare situatie creëren in uw zaak. Daarom is het best dit stapsgewijs aan te pakken. Daarom is het belangrijk een stapsgewijs plan uit te stippelen op basis van een roadmap met duidelijke doelen en een draaiboek voor verschillende mogelijke scenario’s. Bepaal hierin eerst de grootste risico’s en pak deze aan.

2. Weet u waar de persoonsgegevens zijn opgeslagen?

De persoonsgegevens kunnen op een eigen server staan, in de cloud of verdeeld over beiden. Maak een overzicht van waar welke gegevens zijn opgeslagen zodat deze op een snelle en gemakkelijke manier kunnen teruggevonden worden.
Onder persoonsgegevens verstaat men elk gegeven over over een geïdentificeerde of identificeerbare natuurlijke persoon. Het kan informatie zijn die direct over iemand gaat of naar deze persoon te herleiden is. 

3. Weet u precies wie er toegang heeft tot welke gegevens en waarom? 

Deze vraag is belangrijk omdat men buiten de verwerking van de persoonsgegevens door personen die deel uitmaken van de zaak er vaak ook beroep wordt gedaan voor bepaalde zaken op externe partners. Het is noodzakelijk te weten wie, en op basis van welke grondslag, welke persoonsgegevens op welke manier verwerkt. Wat de partners betreft is het belangrijk een juiste verwerkingsovereenkomst te hebben.

4. Weet u precies hoe de gegevens gebruikt worden?

Het gebruik van de gegevens is één van de belangrijkste items van de GDPR. Zorg er voor dat u weet op welke wijze dit gebeurt en met welk doel. Het opbouwen van een profiel bij klanten of prospects op basis van bijzondere persoonsgegevens wordt bijvoorbeeld als hoog-risicodragend aanzien.

5. Hebt u de best mogelijke gegevensbeveiliging voorzien? 

Controleer de eisen van de GDPR met het informatiebeveiligingsbeleid dat u reeds hebt voorzien. Controleer bijvoorbeeld dat de cybersecurity voldoet aan de minimum vereisten.

6. Hebt u een duidelijke communicatie voorzien naar alle betrokkenen?

Zorg dat u aan alle partijen waarvan u gegevens gebruikt kan duidelijk maken hoe in uw zaak wordt omgegaan met hun privacy. U kan u voorbereiden op een vraag maar u kan ook verschillende vragen vermijden door de interne regels reeds kenbaar te maken, bijvoorbeeld via de website

7. Hebben de betrokkenen toestemming gegeven voor het verwerken van hun gegevens en weten zij dat ze deze mogen intrekken?

De toestemming op verwerking van persoonsgegevens is één van de fundamentele rechten van EU-inwoners die vastgelegd is in de GDPR. De gegevens mogen nergens anders voor gebruikt worden dan waarvoor ze ontvangen zijn. Anders moet daar expliciet toestemming voor gevraagd worden. Deze toestemming moet ten allen tijde kunnen ingetrokken worden.

8. Is het mogelijk de gegevens van betrokkenen direct te verwijderen als zij daar om vragen?

Zorg er voor dat u aan de klanten en medewerkers duidelijk maakt op welke wijze u antwoord bied aan het “recht om vergeten te worden”. Men moet op verzoek de persoonsgegevens kunnen verwijderen wanneer deze voor de bedrijfsvoering niet meer noodzakelijk zijn.

9. Hebt u een draaiboek voor het behandelen van datalekken?

Bij een datalek is er een meldingsplicht. Wanneer er een datalek plaatsvindt in uw zaak, of bij een partij die uit jouw naam persoonsgegevens verzamelt, ben je verplicht dit meteen te melden bij de Autoriteit Persoonsgegevens. Het is belangrijk hierop voorbereid te zijn en hierover duidelijke afspraken te maken met partijen die uit jouw naam persoonsgegevens verwerken.

10. Hebt u intern één of meerdere mensen verantwoordelijk gemaakt voor het GDPR-beleid?

Als uw zaak zich toelegt op extra privacygevoelige activiteiten is het mogelijk dat een Data Privacy Officer dient aangesteld te worden. Deze zal verantwoordelijk zijn voor het gehele privacybeleid rondom persoonsgegevens en is het eerste aanspreekpunt bij een probleem.

11. Hebt u een interne opleiding voorzien voor de medewerkers? 

Zonder de medewerkers volledig op de hoogte te brengen van de GDPR procedures is het onmogelijk de GDPR compliancy te behalen. Maak de medewerkers bewust van hun verantwoordelijkheden door interne opleidingen te geven en documentatie ter beschikking te hebben.

12. Heb ik mijn privacyrisico’s in beeld gebracht door middel van een Privacy Impact Assessment (PIA)?

Het samenstellen van een Privacy Impact Assessment verplicht u na te denken over de impact van je organisatie en haar activiteiten op de privacy van de betrokkenen. Hierbij brengt u de risico’s in kaart voor zowel de betrokkenen als voor je organisatie zelf. Het uitvoeren van de PIA is een efficiënt hulpmiddel om aan te tonen dat je bedrijf voldoet aan de GDPR-eisen en zorgvuldig omgaat met de persoonsgegevens van je klanten en medewerkers.