Hoe GDPR compliant ben jij? Gebruik onze handige checklist!

Hieronder vind je een checklist om te zien hoe ver je als bedrijf staat:

Heb je een dataregister waarin alle verwerkingsactiviteiten worden bijgehouden?
Geen idee wat dat precies moet inhouden? Hieronder concrete informatie die moet worden bijgehouden:

• Soort verwerkingsactiviteit – In welk kader worden de gegevens verwerkt?
• Verwerkingsdoeleinden – Waarom worden de gegevens verwerkt?
• Categorieën van betrokkenen – Van wie zijn de gegevens?
• Categorieën van gegevens – Welke type gegevens zijn het?
• Bewaringstermijn – Hoelang worden de gegevens bewaard?
• Rechtsgrond – Wat is de wettelijke grondslag voor de verwerking?
• Categorieën van ontvangers – Aan wie worden de gegevens verstrekt?
• Doorgiften – Worden de gegevens doorgegeven aan een 3^e land of internationale organisaties?
• Technische en organisatorische beveiligingsmaatregelen – Welke maatregelen neem je om de persoonsgegevens te beveiligen?
• Worden de rechten van betrokkenen (personen) gewaarborgd? Let op, op basis hiervan werden er al verschillende boetes opgelegd!
• Heb je een verwerkingsovereenkomst gesloten met organisaties die voor jou persoonsgegevens verwerken? Enkele voorbeelden zijn Mailchimp, Google, een drukkerij die gepersonaliseerde brieven verstuurd, jouw websitebeheerder die toegang heeft tot de gegevens van het contactformulier etc.
• Heb je maatregelen genomen om ervoor te zorgen dat er geen datalekken kunnen ontstaan? Dat kan gaan van online maatregelen tegen hacking tot het sluiten van een kast op kantoor (kort door de bocht, maar zo is het wel echt).
• Als er zich een datalek zou voordoen, ken je de juiste procedures en heb je de juiste documenten om die te melden aan de toezichthouder en aan de betrokkenen?
• Als je persoonsgegevens doorgeeft aan organisaties buiten de EU, ben je dan zeker dat dit mag? Heel vaak staan servers van internationale bedrijven in de US. Denk aan Google, Mailchimp,…
• Ben je open en transparant over wat er allemaal gebeurt met de persoonsgegevens? Denk aan een opt-in bij registratie, een Cookie Policy pop-up, website – en privacy disclaimer.
• Voor sommige bedrijven is het noodzakelijk om een DPO (Data Protection Officer) aan te stellen en om een DPIA (Data Protection Impact Assessment of gegevensbeschermingseffectbeoordeling) te doen.

Zijn er hartkloppingen opgetreden na het lezen van bovenstaande checklist? Dan wordt het tijd om actie te ondernemen. GDPR-compliant zijn, is niet meer iets van “toen”. De tijd van “ze zullen toch niets doen” is verleden tijd.