GDPR Compliance stappenplan

Een GDPR compliance stappenplan is nodig om te zien waar je als bedrijf aan moet denken. Misschien zijn er al een aantal zaken die voldoen aan de GDPR-eisen. Toch kan het geen kwaad je bedrijf in een ander daglicht te zien. Wij hebben als GDPR Consultant de informatie gebruikt van de Commissie voor de bescherming van de persoonlijke levenssfeer (Brussel) en de Europese Commissie. Overheden lichten bedrijven voor m.b.t. GDR Compliance, maar hier ontbreekt vaak de mogelijkheid tot consultancy en projectmanagement. Dat is wat Phari levert. Om u een idee te geven waar uw bedrijf aan moet denken om het GDR compliance traject te doorlopen hebben we alle dertien stappen voor u op een rijtje gezet.

GDPR compliance1. Bewustmaking GDPR Compliance
Informeer sleutelfiguren en beleidsmakers over de aankomende veranderingen. Zij moeten inschatten welke gevolgen de GDPR zal teweegbrengen voor het bedrijf of de organisatie.

Zorg dat de sleutelfiguren en beleidsmakers in jouw bedrijf of orga­nisatie op de hoogte zijn van de nieuwe regelgeving. Zij moeten de gevolgen hiervan inschatten en aanwijzen welke domeinen vandaag mogelijks problematisch kunnen zijn in het licht van de GDPR. Indien jouw bedrijf of organisatie over een risicoregister beschikt, kan dit een werkbaar vertrekpunt zijn.

Het implementeren van de GDPR kan een behoorlijke invloed hebben op de beschikbare middelen, zeker voor wat betreft grote en meer complexe bedrijven of organisatiestructuren. Gebruik de tweejarige overgangsperiode dus allereerst om medewerkers te informeren over de aankomende veranderingen. Stel dit niet uit tot de laatste minuut.

2. Dataregister
Breng in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt gedeeld. Registreer je verwerkingen. Mogelijks dien je hiervoor een informatie-audit te organiseren. Meer over dataregister GDPR

3. Communicatie
Evalueer je bestaande privacyverklaring en plan noodzakelijke wijzigingen hieraan in het licht van de GDPR compliance. Meer over communicatie GDPR

4. Rechten van de betrokkene
Ga na of de huidige procedures in je bedrijf of organisatie alle rechten voorzien waarop de betrokkene zich kan beroepen, inclusief hoe persoonsgegevens kunnen worden verwijderd of hoe gegevens elektronisch zullen worden meegedeeld. Meer over rechten van de betrokkene GDPR

5. Verzoek tot toegang
Update je bestaande toegangsprocedures en bedenk hoe je verzoeken tot toegang voortaan zal behandelen onder de nieuwe termijnen in de GDPR. Meer over verzoek tot toegang – GDPR

6. Wettelijke grondslag voor het verwerken van persoonsgegevens
Documenteer de verscheidene types van gegevensverwerkingen die je uitvoert en identificeer de wettelijke grondslag voor elk van hen. Meer over wettelijke grondslag verwerken persoonsgegevens – GDPR

7. Toestemming
Evalueer de wijze waarop je toestemming vraagt, verkrijgt en registreert, en wijzig waar nodig. Meer over toestemming GDPR

8. Kinderen
Ontwikkel systemen die de leeftijd van de betrokkene nagaan en die de ouder(s) of voogd(en) om toestemming vragen voor de gegevensverwerking van minderjarige kinderen. Meer over kinderen en GPR

9. Datalekken
Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. Meer over datalekken GDPR

10. Gegevensbescherming door ontwerp en gegevensbeschermingseffectenbeoordeling
Maak je vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling” en ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. Meer over gegevensbescherming GDPR

11. Data Protection Officer (DPO)
Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie. Meer over DPO

12. Internationaal
Bepaal onder welke toezichthoudende autoriteit je valt indien jouw bedrijf of organisatie internationaal actief is. Meer over internationaal GDPR

13. Bestaande contacten
Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan. Meer over bestaande contacten GDPR

 

De dertien fasen voor een veilige GDPR compliance doelstelling overzichtelijk weergegeven:

  1. Bewustmaking
  2. Dataregister
  3. Communicatie
  4. Rechten van betrokkene
  5. Verzoek tot toegang
  6. Verwerken persoonsgegevens
  7. Toestemming
  8. Kinderen
  9. Datalekken
  10. Gegevensbescherming
  11. Data Protection Officer (DPO)
  12. Internationaal
  13. Bestaande contacten

Voor vragen kunt u Contact met ons opnemen of bellen met Gert Folkerts – 0650849961

 

 

Bronnen: EU en Commissie voor de bescherming van de persoonlijke levenssfeer, Autoriteit Persoonsgegevens (AP)

 

Share