Share
GDPR-checklist voor de KMO
Wist je dat de ๐ฑ๐ถ๐ฟ๐ฒ๐ฐ๐๐ถ๐ฒ en ๐ป๐ถ๐ฒ๐ ๐ฑ๐ฒ ๐๐ฃ๐ข ๐๐ฒ๐ฟ๐ฎ๐ป๐๐๐ผ๐ผ๐ฟ๐ฑ๐ฒ๐น๐ถ๐ท๐ธ is voor de naleving van de ๐ฟ๐ฒ๐ด๐ฒ๐น๐ ๐๐ฎ๐ป ๐ฑ๐ฒ ๐๐๐ฃ๐ฅ? Het management dient "๐ฅ๐ฆ ๐ฑ๐ข๐ด๐ด๐ฆ๐ฏ๐ฅ๐ฆ ๐ต๐ฆ๐ค๐ฉ๐ฏ๐ช๐ด๐ค๐ฉ๐ฆ ๐ฆ๐ฏ ๐ฐ๐ณ๐จ๐ข๐ฏ๐ช๐ด๐ข๐ต๐ฐ๐ณ๐ช๐ด๐ค๐ฉ๐ฆ ๐ฎ๐ข๐ข๐ต๐ณ๐ฆ๐จ๐ฆ๐ญ๐ฆ๐ฏ ๐ต๐ฆ ๐ฏ๐ฆ๐ฎ๐ฆ๐ฏ ๐ฐ๐ฎ ๐ต๐ฆ ๐ธ๐ข๐ข๐ณ๐ฃ๐ฐ๐ณ๐จ๐ฆ๐ฏ ๐ฆ๐ฏ ๐ต๐ฆ ๐ฌ๐ถ๐ฏ๐ฏ๐ฆ๐ฏ ๐ข๐ข๐ฏ๐ต๐ฐ๐ฏ๐ฆ๐ฏ ๐ฅ๐ข๐ต ๐ฅ๐ฆ ๐ท๐ฆ๐ณ๐ธ๐ฆ๐ณ๐ฌ๐ช๐ฏ๐จ ๐ฑ๐ญ๐ข๐ข๐ต๐ด๐ท๐ช๐ฏ๐ฅ๐ต ๐ฐ๐ท๐ฆ๐ณ๐ฆ๐ฆ๐ฏ๐ฌ๐ฐ๐ฎ๐ด๐ต๐ช๐จ ๐ฅ๐ฆ ๐๐๐".
Geen idee hoe je met de GDPR-regels aan de slag kan gaan? Je raakt niet verder dan een cookie-policy? Wij zetten je met deze checklist alvast op weg.
Stel een DPO (Data Protection Officer) aan
Het is sterk aangeraden om een Data Protection Officer aan te stellen. In sommige gevallen is dit ook een verplichting. Een DPO staat in voor de naleving van de GDPR-regels en zorgt er voor dat jouw organisatie GDPR-compliant is. Een gecertificeerde DPO kan jouw organisatie tevens bijstaan als aanspreekpunt voor alle privacy-gerelateerde vraagstukken.
Kies voor een privacy-beleid op maat van jouw organisatie
Elke organisatie is anders en heeft andere noden. Afhankelijk van de sector of type organisatie kent ook jouw organisatie andere uitdagingen en andere processen (in termen van gegevensverwerking). Kies voor een aangepast kader die past bij jouw bedrijfsvoering. GDPR, dataveiligheid en privacy zijn immers ruime begrippen. Toch doe je er goed aan om zeker in enkele minimale standaarden te voorzien:
ย
- Maak een privacyverklaring op en publiceer deze op jouw website. Plaats deze niet samen met de algemene voorwaarden maar kies voor een zichtbare locatie. Verwijs naar de privacyverklaring in alle uitgaande communicatie.
- Informeer websitegebruikers over eventuele cookies op jouw website. Vraag jouw websitebouwer om een sterk cookiebeleid en lees dit na. Sla je geen gegevens op of doe je hier helemaal niets mee? Ook dat kan. Stel de vraag of je ze wel dient op te slaan. Let op voor toestemmingen in een cookie-policy. Cookies accepteren is รฉรฉn ding, de toestemming terugtrekken moet ook mogelijk zijn.
- Nieuwsbrieven of andere vormen van direct marketing. Zorg voor een manier waarop ontvangers zich kunnen afmelden (de zgn. opt-out). De meest platformen zoals SendGrid, Mailchimp of HubSpot zijn standaard voorzien van een opt-out module.
- De rechten van gebruikers (betrokkenen) zijn een cruciaal elementen binnen de GDPR-regelgeving. Zet een apart kanaal op vb. privacy@-mailbox om eventuele klachten te melden.
Persoonsgegevens?
GDPR gaat enkel en alleen over de verwerking van persoonsgegevens. Andere dataverwerking valt hier niet onder.
Wanneer je persoonsgegevens (vb. naam, leeftijd, emailadres, adresgegevens,...) verwerkt, wordt er verwacht dat je dit op een transparante manier doet. Bovendien moeten persoonsgegevens verkregen worden voor een welbepaald en gerechtvaardigd doel en moet de bewaartermijn gerespecteerd worden. Alle processen die betrekking hebben op de verwerking van persoonsgegevens in de organisatie, dien je op te lijsten. Dit is een zogenaamd Register van Verwerkingsactiviteitenen wellicht voor veel organisaties de moeilijkste in het GDPR-kluwen. Via de website van de Gegevensbeschermingsautoriteit kan je alvast een standaard model downloaden. (https://www.gegevensbeschermingsautoriteit.be/professioneel/avg/register-van-verwerkingsactiviteiten/hoe-stel-ik-mijn-register-op)
Maak van GDPR een verlengstuk van jouw IT-security
GDPR-regelgeving en IT-security hebben heel wat overlap en kunnen elkaar in zekere zin versterken. Laat beide domeinen zoveel mogelijk in elkaar overvloeien. Passende beveiligingsmaatregelen vormen immers de kern van een goed security-beleid รฉn GDPR-beleid. Denk hierbij aan:
- Een goede wachtwoord-hygiรซne (tip: 123test is geen sterkwachtwoord)
- Is er een toegangscontrole zowel digitaal als voor fysieke ruimtes
- Worden back-ups tijdig en periodiek gemaakt of alleen als het echt nodig is?
- Worden alle applicaties tijdig van een update voorzien en wordt de meest recente versie geรฏnstalleerd?
- Hoe zit de basisbeveiliging in elkaar? Is er een anti-virus actief op elk toestel? Is er een firewall?
- Wat met thuiswerkers en eigen toestellen van medewerkers?
En als het toch fout gaat? Disaster Recovery Plan
Stel een duidelijke procedure op om gegevensverlies te voorkomen รฉn tegelijk te herstellen na een incident (Disaster Recovery Plan). Een Disaster Recovery Plan is een draaiboek met verschillende stappen om de impact van een incident zoveel mogelijk te minimaliseren. Het bevat procedures en richtlijnen om IT-systemen zo snel mogelijk te herstellen en de bedrijfscontinuรฏteit te verzekeren. Leg hierin vooral de focus op de verantwoordelijkheden: wie doet wat bij een incident? Hoe kan je jouw IT-partner bereiken? Wie moet je bereiken en wat kan je reeds in eerste lijn doen in geval van een incident? Bekijk ook meteen wanneer je dient over te gaan tot een aangifte bij de Gegevensbeschermingsautoriteit (GBA).
Bewustwording
Vergeet zeker en vast de menselijke factor niet. Medewerkers kunnen een eerste schild vormen maar tegelijk een eerste zwakte zijn in de beveiliging en privacy-handhaving. Zorg er voor dat alle medewerkers op de hoogte zijn of minstens een kleine basis mee hebben van de GDPR-wetgeving. Zo is het voor iedereen duidelijk wat kan en wat vooral niet kan. Ook trainingen om de bewustwording in het kader van dataveiligheid te verhogen (denk aan phishing of ransomeware) kan nuttig zijn.
ย
ย
Nood aan ondersteuning of advies om een sterk GDPR รฉn IT-beleid (security) op te zetten binnen jouw organisatie? Dan helpen we je met Qastan graag op weg. Geef ons eens seintje om samen de mogelijkheden op maat van jouw organisatie te bekijken.
Gerelateerde artikels
Work it, Make it, Do it โ Hoe workflows kunnen bijdragen aan een efficiรซntere organisatie
Het belang van maatwerksoftware: Hoe Qastan oplossingen op maat biedt
Twee-stapsverificatie: een extra slot op de digitale deur
