De spotlights zijn dan misschien niet meer gericht op GDPR, vergeet niet geregeld de procedure binnen uw vennootschap of vereniging kritisch te evalueren. Het zomerverlof kan hiervoor het tijdstip bij uitstek zijn!
Kort samengevat heeft de GDPR (of: de algemene verordening voor gegevensbescherming) de bescherming van de persoonlijke data van de Europese burger tot doel (in voege sedert 25 mei 2018). Alle ondernemingen, ook de kleinere KMO’s en de vzw’s, moeten hun werking conformeren aan de GDPR-richtlijn.
Voor de verwerkingsverantwoordelijke omvat de ‘GDPR-procedure’ minstens de volgende aspecten:
- Opmaak van een register van verwerkingsactiviteiten (‘data-register’) en datalekken;
- Opmaak van een privacy-verklaring waarin u onder meer uitlegt welke persoonlijke gegevens er worden verwerkt, voor welke doeleinden u de gegevens gebruikt, of u deze gegevens doorgeeft aan derde partijen en hoelang u de gegevens bewaart;
- Opmaak van een interne nota “GDPR-richtlijn” waaraan de vennootschap en haar medewerkers zich moeten houden bij de uitoefening van hun opdracht;
- Het aanduiden van een DPO (Data Protection Officer) of indien dit niet verplicht is (wie amper data verwerkt, hoeft immers soms geen DPO te hebben), een verantwoordelijke die zal instaan voor de GDPR-opvolging;
- Afsluiten van verwerkersovereenkomsten indien u samenwerkt met derde partijen die persoonlijke gegevens voor u verwerken (denk hierbij bijvoorbeeld aan een sociaal secretariaat);
- Aanpassen van uw commerciële documenten (denk hierbij bijvoorbeeld aan uw algemene voorwaarden).
GDPR is echter geen eindig verhaal. Aangezien de werking binnen uw organisatie steeds evolueert en wijzigt, moet uw ‘GDPR-procedure’ hierop worden afgestemd. Zo doet u misschien beroep op een nieuwe IT-provider of besteedt u de loonadministratie uit aan een ander sociaal secretariaat. Maar ook nieuwe wetgeving kan leiden tot een ‘GDPR-impact’. Zo moet de vennootschap uiterlijk op 30/09/2019 haar uiteindelijke begunstigden identificeren in het UBO-register. Ook hiervoor zal u de nodige persoonlijke data van de uiteindelijke begunstigden (= natuurlijke personen) opvragen, verwerken en bewaren. Deze verwerking zal in uw register van verwerkingsactiviteiten moeten opgenomen worden.
Bij elke verandering binnen uw vennootschap moet de GDPR-verantwoordelijke de impact hiervan beoordelen en zo nodig de procedure en documenten hieraan aanpassen om zo te verzekeren dat de veiligheid van de persoonlijke data van uw klanten en personeel blijvend wordt gewaarborgd. Laat dit ook aan derden weten! Zo kan u op uw website duidelijk vermelden wanneer uw privacy-policy het laatst werd geüpdatet.
Mocht dit nog niet gebeurd zijn, kan het zomerverlof u de mogelijkheid bieden om de GDPR-procedure van uw onderneming te updaten. De veiligheid van de verwerking van persoonlijke gegevens moet immers blijvend worden gewaarborgd. Uiteraard kunnen wij u hierbij steeds in begeleiden.
Auteur: Elise Vercruysse (26 juli 2019)