Het aftellen is nu echt begonnen! Op 25 mei 2018 zal de Europese Algemene Verordening Gegevensverwerking, beter gekend onder zijn Engelse afkorting “GDPR” (voor ‘General Data Protection Regulation’) van toepassing worden. De GDPR werd op 27 april 2016 gestemd en is op 4 mei 2016 definitief in werking getreden. De Lid-Staten en ondernemingen hebben echter twee jaar overgangsperiode gekregen om zich in regel te stellen met de nieuwe bepalingen.

De reden daarvan is duidelijk: de GDPR brengt heel wat nieuwe verplichtingen met zich. Bovendien is het gros van de Europese - en ook Belgische - ondernemingen vandaag nog niet compliant met de huidige regelgeving betreffende de verwerking van persoonsgegevens, omwille van het gebrek aan controles en de niet-sanctionering. Dat belooft te veranderen onder de GDPR: er zullen, naar Europese gewoonte, strenge sancties gelden (de GDPR voorziet in administratieve geldboetes die kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van een onderneming (!) en de Belgische Privacycommissie zou voortaan de bevoegdheid krijgen om die sancties op te leggen.

 Hoe kunnen ondernemingen nu tewerk gaan om volledig “GDPR proof” te worden? Daarbij kan gewerkt worden in een stappenplan:

Stap 1: Map it!

Eerst en vooral is het belangrijk dat ondernemingen zich een goed beeld vormen van alle data processen die plaatsvinden, en dit per land en per departement (HR, Sales, Marketing, Supply Chain, ...). Alle processen moeten nauwkeurig in kaart worden gebracht. Dit kan gebeuren aan de hand van een gedetailleerde vragenlijst waarbij ook wordt gepeild naar de doelstellingen, de bewaringstermijnen, de categorieën van verwerkte gegevens, of die gegevens naar derde landen worden overgedragen, hoe gegevens zijn beveiligd, ...

Vooraleer je met deze fase van start kan gaan, wordt best een of meerdere verantwoordelijken voor het project aangesteld. Het beantwoorden van de vragen vergt immers teamwerk en goede opvolging. Ideaal is een team samengesteld uit medewerkers uit het Legal, HR en IT departement.

Stap 2: Opstellen van een audit rapport

Aan de hand van de verstrekte antwoorden kan een schematisch rapport opgemaakt worden waarin de onderneming meteen kan terugvinden welke thema’s onder controle zijn en aan welke issues nog moet verholpen worden.

Stap 3: Opstellen van de nodige documenten en policies

Op basis van de informatie die het rapport biedt, kunnen de nodige documenten en policies opgemaakt worden. Daarbij kan worden gedacht aan de privacy notice al dan niet met een toestemming, overeenkomsten met verwerkers, standaard contractuele clausules voor overdracht van gegevens naar derde landen, het nieuwe register voor verwerking, een ICT policy, een camera policy, een klokkeluidersregeling, een procedure bij risico van verlies van gegevens (‘data breach’).

Stap 4: Implementeren maar!

Tenslotte moet het project uitgerold worden naar de ganse onderneming. Trainingen zullen hierbij cruciaal zijn, specifiek per activiteit van de onderneming.

Wie hiermee nog niet aan de slag is gegaan, kan best niet meer te lang wachten want elke van de vier stappen neemt de nodige tijd in beslag.

We wensen jullie veel succes hierbij. Het Claeys & Engels data protection team staat alvast klaar om jullie hierbij te helpen en bij te staan, samen met onze Europese collega’s van Ius Laboris.

Bekijk ook zeker dit filmpje waarin wordt uitgelegd hoe u GDPR compliant wordt.