De datum 25 mei hebt u ongetwijfeld al vele malen zien passeren in verschillende mails. Dat is ook logisch, want dan wordt de GDPR-wetgeving van kracht. Maar wat moet u als bedrijf nu precies weten en doen rond GDPR? Het is erg ingewikkeld en niet evident om als bedrijf hiermee om te gaan. Om u te helpen hebben we een glashelder stappenplan opgesteld. Als u onderstaande stappen hebt uitgevoerd vòòr 25 mei, dan mag u op uw beide oren slapen.

1. Verwerkersovereenkomst

De eerste stap is het opstellen van een verwerkersovereenkomst. In deze overeenkomst maakt u duidelijk aan de betrokken partijen (de klanten en leveranciers) wat u precies van plan bent met hun gegevens. De verwerkersverantwoordelijke beschrijft in dit document wat de verwerker (het bedrijf) met de gegevens mag doen. Weet u niet goed hoe hieraan te beginnen? Klik dan hier om een voorbeeld van een verwerkersovereenkomst te bekijken.

2. Data register

De volgende stap is het opmaken van een data register. Hierbij is het belangrijk de verschillende soorten data op te sommen en er bij te vermelden waarvoor u deze data precies gebruikt. Ook welke software/ applicaties u gebruikt om de gegevens te verwerken. Verwijs hier telkens naar de documenten die de procedures ter respectering van de rechten van de betrokkenen bepalen. Een voorbeeld van zo’n data register vindt u op de site van de Privacy Commissie.

3. Privacy Policy aanpassen

Bij de Privacy Policy deelt u op een duidelijke manier mee aan de betrokken personen wat u precies gaat doen met hun verzamelde gegevens, hoe de gegevens op een veilige manier worden bewaard en dat de gegevens niet worden uitgedeeld aan derden. Uw werknemers en de door uw ingeschakelde partners zijn echter verplicht om de vertrouwelijkheid van de persoonsgegevens te respecteren. Een voorbeeld van een privacy policy kan u hier terugvinden.

4. Datalek Policy

De Datalek Policy kan worden opgesplitst in 2 delen. Enerzijds licht u de ondernomen acties voor de beveiliging van uw gegevens toe, anderzijds moet er een stappenplan worden opgesteld indien er zich een datalek voordoet.

  • Ondernomen acties voor beveiliging van de gegevens

Geef een opsomming van de verschillende soorten gegevens die u hebt verzameld en leg hierbij uit welke acties u ondernomen hebt om deze te beschermen. Dit kan naast de eigen klantengegevens ook de gegevens op de websites, de interne NAS of de VPN-verbinding zijn.

  • Stappenplan bij een datalek

Stel een duidelijk stappenplan op van wat er precies gebeurt wanneer er zich een datalek voordoet. Dit gaat van het waarnemen van het lek, tot het opmeten van de schade en hoe u dergelijke datalekken kan vermijden in de toekomst.

5. Aanpassen media waar gegevens verzameld worden

Belangrijk is dat de gebruikers van uw platform expliciet de toestemming geven dat u hun gegevens mag opslaan en gebruiken. Hiertoe moeten ze ook de mogelijkheid hebben om te vragen hun gegevens niet bij te houden. Dit moet gebeuren aan de hand van een radiobutton waar de mensen zelf actief een button kunnen aanvinken.

Daarom is het belangrijk dat er bepaalde wijzingen gebeuren aan alle formulieren op de site zodat de gebruiker toestemming kan geven dat u zijn of haar gegevens gebruikt.

Belangrijke termen in deze fase zijn opt-in en opt-out, waarvan men bij het eerste akkoord gaat met het feit dat hun gegevens worden gebruikt. Opt-out betekent dan weer het omgekeerde.

Klik hier om een voorbeeld te zien.

6. Historische Data

Nog een laatste stap voor dat u als bedrijf volledig in orde bent met de GDPR-wetgeving is de historische data. Dit is alle data die u verzameld hebt voor de GDPR van kracht gegaan is. Hier is het belangrijk dat er een duidelijk onderscheid gemaakt wordt van welke gegevens wel en niet onder de GDPR vallen. Bv. een info@-emailadres valt niet onder de GDPR-wetgeving omdat u de persoon achter het e-mailadres niet kent.

Indien u e-mailadressen/andere data hebt verworven die niet onder de GDPR-wetgeving vallen, bent u genoodzaakt de betrokken partijen opnieuw toestemming te vragen om de gegevens te gebruiken. Daarnaast moet u de betrokken partijen ook op de hoogte brengen dat ze zich steeds kunnen in- en uitschrijven op de mailings of andere communicatie die wordt verstuurd. Indien er op deze mail niet gereageerd wordt, is het ook nodig naar deze personen een nieuwe mailing te versturen waarin staat dat ze steeds in de lijst blijven, maar dat ze zich ten alle tijde kunnen uitschrijven.

Hebt u nog vragen omtrent GDPR? Stuur dan zeker een mailtje naar mathieu@merkenmarketeers.be, dan helpen we u graag verder.