Maak nu je GDPR actieplan in 3 stappen

Auteur:

De GDPR en AVG staan nogal in de belangstelling. Er moet veel gebeuren om het voor je organisatie te implementeren en de boetes zijn niet mals. Tijd dus om de belangrijkste zaken op een rijtje te zetten en een actieplan te maken.

Actie!

Waar bestaat dat actieplan uit? In de nieuwe wetgeving is alles rond privacy beschreven: van welke privacy verklaringen je nodig hebt, wat je aan wie moet melden en hoe lang je gegevens bewaart. Dat is pas het begin. Want in veel gevallen heb je veel data over mensen in verschillende systemen: een CRM, een email systeem en noem het maar op.

Stap 1: Inventarisatie

Je plan begin met een uitgebreide inventarisatie: over welke data rond personen beschik je eigenlijk? Vergis je niet: dat is breed. Dat zijn mensen die op je site een brochure aanvragen, maar ook uitgeprinte formulieren. Inventariseer dus nauwkeurig:

  1. Over welke systemen beschik je waar persoonsgegevens in staan?
  2. Welke soort gegevens staan hierin? Zijn ze mogelijk geanonimiseerd?
  3. Bij wie zijn de gegevens en systemen in beheer?
  4. Hoe worden deze systemen beveiligd?
  5. Staat de data in de EU?

Deze lijst is niet compleet. Afhankelijk van branche e.d. zijn aanvullende stappen noodzakelijk.

Stap 2: Wie is verantwoordelijk?

De nieuwe wetgeving draait ook sterk over verantwoordelijkheid: wie is op welke manier verantwoordelijk voor de data? De wet spreekt hier over het verwerken van data en bewerken. In de regel ben je zelf eindverantwoordelijk (bewerker) maar werk je met verschillende verwerkers. Met deze verwerkers dien je een overeenkomst te hebben.

  1. Met welke verwerkers doen je zaken? Bijv crm leverancier, Google Analytics, email systeem, etc.
  2. Welke overeenkomst heb je nu?
  3. Bij wie staat de data?
  4. Wie is technisch verantwoordelijk?
  5. Welke procedures zijn er voor deze verantwoordelijkheden?
  6. Wie is verantwoordelijk voor datalekken? Wie meldt ze?

Stap 3: Procedures

In de nieuwe wetgeving hebben mensen meer rechten:

  1. Het recht om vergeten te worden (verwijderen gegevens)
  2. Het recht om hun gegevens in te zien
  3. Het recht op een maximale bewaartermijn

Deze rechten dienen gewaarborgd te worden in procedures, zodat deze verzoeken binnen de termijnen opgevolgd kunnen worden. Dat betekent dus dat die rechten ook letterlijk uitgevoerd kunnen worden: een persoon moet bijvoorbeeld uit elk willekeurig systeem verwijderd kunnen worden.

NB: Dit artikel is niet bedoeld uitputtend te zijn en er kunnen geen rechten aan ontleend worden.

Training GDPR met eigen actieplan

De wetgeving heeft gevolgen en vergt veel om te implementeren in een organisatie. Daarom hebben wij een specifieke 2-daagse training ontwikkeld waarin je een eigen actieplan maakt om de GDPR snel te implementeren.

Vraag de brochure aan of schrijf je snel in:

Training GDPR - met actieplan
Brochure aanvragen
Inschrijven

Gratis webinar GDPR en Privacy: wat je echt moet weten

Webinar GDPR en Privacy: wat je echt moet weten - inschrijven

Terug