Een tweede reeks regels is écht nieuw. Die gaan over de interne organisatie binnen uw onderneming.
Het zal een hele aanpassing van uw systeem vragen om de rechten van diegene wiens gegevens u bijhoudt te vrijwaren. Daarom zal u binnen uw onderneming een aantal aanpassingen moeten doorvoeren.
Vooreerst zal ieder bedrijf dat persoonsgegevens verwerkt een register voor verwerkingsactiviteiten moeten bijhouden. Iedere verwerking die gebeurt of die de betrokkene van u verlangt om door te voeren (cfr. rechten hierboven uiteengezet), zal u moeten bijhouden in een bestand.
De GDPR bepaalt verder dat, bij verlies of diefstal van gegevens, de overheid en de betrokken personen in principe onverwijld (en alleszins binnen de 72 uur) verwittigd moeten worden.
Voorts moet er in welbepaalde gevallen een DPO (Data Protection Officer) aangesteld worden. Die functie kan bekleed worden zowel door een werknemer als een externe consultant. Aangezien deze verplichting geldt bij gegevensverwerking op grote schaal zal een kmo hier in principe niet mee te maken krijgen.
Tot slot is er ook nog de DPIA (Data Protection Impact Assessment), wat inhoudt dat u als ondernemer in de spiegel moet kijken en analyseren hoe u met data omgaat en welke risico’s op verlies of diefstal van data u loopt. Op basis van de bevindingen van die veiligheidsaudit moet er dan een actieplan opgezet worden om risico’s te beperken. Opnieuw gaat het om een verplichting waar maar weinig kmo’s mee in aanraking zullen komen. Enkel als er aan gegevensverwerking op grote schaal wordt gedaan, moet er een DPIA opgemaakt worden.