Bedrijfsprocessen

GDPR-checklist: 8 belangrijke punten die jouw bedrijf moet weten

Collega's bespreken hoe ze kunnen voldoen aan de GDPR.

De GDPR, General Data Protection Regulation of Algemene Verordening Gegevensbescherming, was de grootste verandering in hoe we persoonsgegevens van individuen verzamelen, bewaren en gebruiken.

Deze GDPR-checklist brengt wat aandachtspunten naar voor waar je bedrijf zeker rekening mee moet houden.

De GDPR gaat een stuk verder dan de voorgaande maatregelen voor databescherming en heeft invloed op bedrijven van elk formaat, van éénmanszaken tot de grootste multinationals.

Het is niet verrassend dat veel ondernemingen nog vragen hebben over GDPR en hoe het hun dagelijks werk beïnvloedt.

We geven je antwoorden op de meest gestelde vragen. De volgende vragen komen aan bod:

  1. Moet mijn bedrijf GDPR-gecertificeerd zijn?
  2. Moet mijn onderneming audits of inspecties ondergaan?
  3. Ik heb een kleine éénmanszaak. Heeft de GDPR ook op mij betrekking?
  4. Wat zijn de gevolgen van inbreuken tegen de GDPR?
  5. Hoeveel kan de GDPR mijn zaak kosten?
  6. Moet ik een Data Protection Officer (DPO) aanstellen?
  7. Mijn bedrijf is niet gelegen in de EU of UK. Moet ik aan de GDPR voldoen?
  8. Mijn bedrijf is niet in de EU gevestigd. Heeft de GDPR impact op mijn zaak?

1. Moet mijn bedrijf GDPR-gecertificeerd zijn?

Neen. In de beschrijving van de GDPR staat geen referentie of mandaat voor een specifiek certificatiesysteem.

Het moedigt echter wel vrijwillige certificatie aan door instanties of organisaties uit de sector die voldoen aan EN-ISO/IEC 17065/2012 en die goedgekeurd zijn door relevante toezichthoudende organisaties zoals het Europees Comité voor gegevensbescherming (EDPB) in de EU.

Hoewel GDPR-certificatie wenselijk is voor garanties op gebied van onder andere technische en security-maatregelen, is het vooral belangrijk voor derden die data verwerken voor anderen.

2. Moet mijn onderneming audits of inspecties ondergaan?

De GDPR bevat geen vereiste voor regelmatige audits of inspecties vanuit de overheid maar toezichthoudende autoriteiten hebben wel het recht om audits uit te voeren als onderdeel van hun recht tot onderzoek.

Dat betekent echter niet dat zelf opgelegde audits of inspecties niet de moeite lonen, of zelfs in de praktijk vereist zijn voor naleving.

De situatie is iets complexer voor derde partijen die dataverwerking als dienst aanbieden aan anderen.

Zij moeten alle informatie beschikbaar maken die nodig is om naleving van GDPR-verplichtingen aan te tonen aan het bedrijf dat hen aanneemt.

Ze moeten ook audits en inspecties toelaten en er aan bijdragen wanneer het bedrijf dat hen in dienst neemt dat opdraagt.

Het is echter niet voldoende om slechts de GDPR na te leven. Elk bedrijf moet kunnen aantonen dat ze dit doen. Dat heet het ‘beginsel van verantwoording’.

3. Ik heb een kleine éénmanszaak. Heeft de GDPR ook op mij betrekking?

Ja. De GDPR heeft betrekking op alle personen en zaken die actief zijn in een commerciële activiteit waarbij persoonsgegevens verwerkt worden. Zelfs organisaties zoals partnerschappen, goede doelen, clubs en verenigingen.

Het maakt geen verschil of de entiteit legaal erkend is of niet.

4. Wat zijn de gevolgen van inbreuken tegen de GDPR?

Je bedrijf kan een boete krijgen tot 4% van de jaarlijkse omzet of tot 20 miljoen euro, afhankelijk van wat het grootste bedrag is.

Merk op dat het mogelijk is om een inbreuk te plegen tegen de GDPR zonder een daadwerkelijk gegevensverlies.

5. Hoeveel kan de GDPR mijn zaak kosten?

De kosten voor een gemiddelde onderneming kunnen een deel of alles van volgende zaken inhouden:

  • Een registratiekost voor de EDPB, het Europees Comité voor gegevensbescherming, is te betalen door bedrijven die persoonsgegevens verwerken. Dit hangt af van de omvang en omzet, samen met de hoeveelheid persoonsgegevens die verwerkt worden;
  • Audits van alle processen over alle afdelingen heen, idealiter door gekwalificeerde individuen of bedrijven;
  • Aanpassingen zoals bijscholing van personeel en op gebied van IT-infrastructuur;
  • Mogelijks de aanstelling van een Data Protection Officer (DPO, zie vraag 6 hieronder);
  • Constante documentatieprocessen opzetten en onderhouden die naleving van de GDPR aantonen;
  • Vrijwillige certificatiekosten, zeker als je bedrijf data verwerkt voor andere bedrijven (zie vraag 1 en 2 hierboven, in gedachten houdend dat je enkel certificerende organisaties moet inzetten die voldoen aan EN-ISO/IEC 17065/2012 en die geautoriseerd zijn door de relevante autoriteiten zoals de EDPB in de EU).

6. Moet ik een Data Protection Officer (DPO) aanstellen?

Sommige types bedrijven moeten dit doen.

Enkele voorbeelden hiervan zijn bedrijven in de publieke autoriteiten, of wanneer je hoofdactiviteiten betrekking hebben op individuen monitoren op grote schaal (zoals profileren). Of bijvoorbeeld als je data beheert binnen speciale categorieën zoals medische gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Je DPO kan een bestaande werknemer zijn of je kan iemand contacteren buiten de onderneming.

Je moet de toezichthoudende autoriteit op de hoogte brengen van wie de rol inneemt en ze moeten correct opgeleid worden.

7. Mijn bedrijf is niet gelegen in de EU of UK. Moet ik aan de GDPR voldoen?

De GDPR heeft betrekking op elk bedrijf dat gegevens verwerkt van individuen uit de EU of de UK.

Bied je producten of diensten aan individuen in de EU of UK en houd je gegevens over consumentengedrag bij, moet je waarschijnlijk een vertegenwoordiger aanstellen in de EU of UK om GDPR-vragen te behandelen.

Bovendien moet je de relevante toezichthoudende autoriteit schriftelijk op de hoogte brengen van wie dit is.

Verschillende derde partijen specialiseren zich al in tegemoetkomen aan deze vereiste voor representatie. Je vindt ze online terug.

Je kan op zijn minst de informatie opvragen om te controleren of dit een vereiste is voor jouw bedrijf.

8. Mijn bedrijf is niet in de EU gevestigd. Heeft de GDPR impact op mijn zaak?

De GDPR heeft betrekking op elk bedrijf dat gegevens verwerkt van individuen uit de EU.

Bied je producten of diensten aan individuen in de EU en houd je gegevens over consumentengedrag bij, moet je waarschijnlijk een vertegenwoordiger aanstellen in de EU om GDPR vragen te behandelen.

Bovendien moet je de relevante toezichthoudende autoriteit schriftelijk op de hoogte brengen van wie dit is.

Je kan op zijn minst de informatie opvragen om te controleren of dit een vereiste is voor jouw bedrijf.

Het is moeilijk te voorspellen wat de gevolgen zullen zijn voor bedrijven buiten de EU die de GDPR overtreden. Die gevolgen zouden kunnen betekenen dat zij geen zaken meer mogen doen in de EU zolang niet is aangetoond dat zij aan de GDPR voldoen, wat enige tijd kan duren.

Dit kan niet alleen sales, maar ook leveranciers beïnvloeden en dus een verwoestend effect hebben.