U kan niet kunnen komen naar de groep sessie ? We kunnen u individueel begeleiden op afspraak.

1: denk na over uw privacybeleid

Uw privacy policy wordt de komende jaren steeds belangrijker. U zal steeds vaker van klanten en toeleveranciers te horen krijgen dat u moet kunnen aantonen dat u ‘privacy compliant’bent.

Een van de verplichtingen onder de nieuwe verordening is immers om enkel te werken met ‘veilige’ bedrijven en om altijd en overal geschreven contracten met de nodige garanties te voorzien.

2: Welke acties moet u ondernemen binnen uw onderneming?

Een tweede reeks regels is écht nieuw. Die gaan over de interne organisatie binnen uw onderneming. 

Het zal een hele aanpassing van uw systeem vragen om de rechten van diegene wiens gegevens u bijhoudt te vrijwaren. Daarom zal u binnen uw onderneming een aantal aanpassingen moeten doorvoeren.
Vooreerst zal ieder bedrijf dat persoonsgegevens verwerkt een register voor verwerkingsactiviteiten moeten bijhouden. Iedere verwerking die gebeurt of die de betrokkene van u verlangt om door te voeren (cfr. rechten hierboven uiteengezet), zal u moeten bijhouden in een bestand.

De GDPR bepaalt verder dat, bij verlies of diefstal van gegevens, de overheid en de betrokken personen in principe onverwijld (en alleszins binnen de 72 uur) verwittigd moeten worden.

Voorts moet er in welbepaalde gevallen een DPO (Data Protection Officer) aangesteld worden. Die functie kan bekleed worden zowel door een werknemer als een externe consultant. Aangezien deze verplichting geldt bij gegevensverwerking op grote schaal zal een kmo hier in principe niet mee te maken krijgen.

Tot slot is er ook nog de DPIA (Data Protection Impact Assessment), wat inhoudt dat u als ondernemer in de spiegel moet kijken en analyseren hoe u met data omgaat en welke risico’s op verlies of diefstal van data u loopt. Op basis van de bevindingen van die veiligheidsaudit moet er dan een actieplan opgezet worden om risico’s te beperken. Opnieuw gaat het om een verplichting waar maar weinig kmo’s mee in aanraking zullen komen. Enkel als er aan gegevensverwerking op grote schaal wordt gedaan, moet er een DPIA opgemaakt worden.

3: licht uw onderneming door op vlak van gebruik van data en persoonlijke gegevens

Wat er verder precies nodig is, zal verschillen van bedrijf tot bedrijf. Allereerst zal u in kaart moeten brengen welke data worden gebruikt binnen uw onderneming, waar die vandaan komt, wie er toegang toe heeft, waarom u die bijhoudt, welke onderaannemers (bv. online marketing bedrijf) die gegevens in handen krijgen, etc.
We raden u aan om uw bevindingen goed te documenteren en bij te houden; enerzijds voor uzelf om meer zicht te krijgen op uw onderneming, en anderzijds als bewijs dat u de oefening heeft gemaakt.

4: doe de nodige aanpassingen

Op basis van deze analyse kan u dan aan de slag gaan met het doorvoeren van de nodige aanpassingen op drie niveaus:
1. Bijkomende technische beveiliging waarnodig;
2. Aanpassen van processen binnen uw bedrijf;
3. Aanpassen van uw contracten met leveranciers,
arbeidsovereenkomsten, arbeidsreglementen,
privacy policy, ‘bring your own
device policies’, etc.


De mate waarin u aanpassingen moet doen, zal afhangen van meerdere factoren (aard, grootte,complexiteit, … van uw onderneming).
In iedergeval raden we u aan om dit tijdig te bekijken en u eventueel te laten bijstaan door een gespecialiseerd advocatenkantoor en/of IT consultant.