Aanbevelingen voor dataprotectie (GDPR)

Onze wereld is steeds meer met elkaar geïnterconnecteerd. Naarmate persoonsgegevens almaar sneller en in grotere getale circuleren, wordt ook de bescherming van die gegevens en van de privacy van de betrokken personen een centrale bekommernis. Een nieuwe Europese Verordening stelt dan ook strengere eisen waaraan ondernemingen – iedere organisatie die persoonsgegevens verwerkt – moeten voldoen. De General Data Protection Regulation of ‘GDPR’, zoals de Verordening afgekort heet, is erg complex.

Op 24 mei trad de nieuwe Europese privacy verordening, officieel: de Algemene Verordening Gegevensbescherming (AVG), in werking. Het duurt nog tot 25 mei 2018 vooraleer de nieuwe privacyregels definitief van toepassing zullen zijn, maar bedrijven en organisaties die persoonsgegevens verwerken bereiden zich best nu al voor. Ze kunnen hierbij rekenen op hulp van de Privacycommissie die via een themadossier en stappenplan informatie en richtlijnen aanbiedt om dit veranderingsproces in goede banen te leiden.

Helemaal nieuw is de AVG natuurlijk niet. Veel van haar basisprincipes en concepten vinden we reeds terug in de actuele Belgische Privacywet. Dus wie vandaag al voldoet aan de huidige wetgeving, zal deze benadering als geldig uitgangspunt kunnen nemen voor de implementatie van de AVG. Toch zijn er enkele nieuwigheden en aanzienlijke verbeteringen die de huidige aanpak licht zullen wijzigen.

13 stappenplan

Met behulp van een 13 stappenplan kunnen verantwoordelijken en verwerkers de verschillen tussen de huidige Privacywet en de nieuwe AVG opsporen en hun beleid hierop afstemmen.

De AVG legt meer nadruk op de documentatieplicht van de verwerkingsverantwoordelijke, als blijk van diens verantwoordelijkheid. Het stappenplan helpt bedrijven en organisaties hun huidig databeschermingsbeleid te evalueren en aan te passen aan de nieuwe vereisten van de AVG. Een eerste stap hierin kan zijn om de bestaande contracten en regelingen voor gegevensuitwisseling te herzien.

Sommige bepalingen uit de AVG zullen meer impact hebben op jouw bedrijf of organisatie, dan andere, zoals bijv. de bepalingen inzake profilering of de specifieke beschermingsregels voor persoonsgegevens van kinderen. Het kan dus nuttig zijn om nu reeds in kaart te brengen welke bepalingen van de AVG de grootste impact zullen hebben op jouw bedrijf of organisatie, en deze bij voorkeur eerst door te voeren.

Het VBO doet 7 aanbevelingen om in te zetten op dataprotectie (GDPR-compliance). Hieronder een korte oplijsting:

  1. Hou een inventaris bij van alle verwerkingen van persoonsgegevens, samen met de doelstelling die ze beogen
  2. Behandel de geregistreerde gegevens op rechtmatige en transparante wijze
  3. Registreer enkel de noodzakelijke data en houd ze niet langer bij dan nodig
  4. Tref passende veiligheidsmaatregelen om de gegevens in kwestie te beschermen
  5. Informeer duidelijk de personen van wie gegevens worden bijgehouden
  6. Werk een intern gegevensbeschermings- en privacybeleid uit
  7. Duid iemand aan als verantwoordelijke voor gegevensbescherming en privacy

Bronnen: