Zelden hebben we een regelgeving gezien met zoveel impact op de bedrijfswereld. Ze is van toepassing op alle bedrijfssectoren en -tailles, voor alle bedrijven die persoonsgegevens verwerken van personeel en particuliere klanten.

Iedereen compliant?

Zijn de bedrijven na de rush naar 25 mei 2018 – toen de regelgeving officieel in werking trad – dan nu allemaal 100% in orde met de GDPR-wetgeving?

Zeker niet! De mate waarin bedrijven GDPR geïmplementeerd hebben, hangt af van factoren als:

• het feit of ze al dan niet gevoelige data verwerken,
• het feit of ze al dan niet persoonsgegevens van klanten verwerken,
• hun taille,
• het feit of ze wel of niet deel uitmaken van een internationale (Europese) groep,
• hun maturiteit, zijnde de mate waarin ze reeds aan de privacywet van 1992 voldeden.

De meeste bedrijven zijn minstens gestart met het implementeren van de GDPR-regels. Maar het is een proces dat nooit is afgerond en altijd aandacht zal blijven vragen. Sinds 25 mei 2018 moeten organisaties kunnen aantonen dat ze met de nieuwe privacywetgeving aan de slag zijn gegaan en dat ze een duidelijke roadmap (met datums!) hebben om 100% compliant te worden. Op 25 mei 2018 was de GDPR dus niet afgerond, toen begon het pas.

Eerste stappen zijn gezet

Bedrijven hebben op z’n minst een aantal acties opgezet om de buitenwereld te tonen dat ze het serieus menen met GDPR. Op hun websites voor particuliere klanten verschenen privacyverklaringen en cookie policies. Bedrijven die klanten of prospecten via e-mails informatie, publiciteit of nieuwsbrieven sturen, vroegen (opnieuw) expliciete toestemming om dit te mogen blijven doen. Bedrijven of instellingen die medische of andere gevoelige gegevens verwerken, besteedden extra aandacht aan GDPR. Maar anderzijds zie je ook ‘kleine’ bedrijven, in de retail bijvoorbeeld, die blijkbaar nog nooit van GDPR gehoord hebben of denken dat de wetgeving niet op hen van toepassing is. Zij verzamelen nog steeds identiteitskaartgegevens om een klantenkaart aan te maken en hebben duidelijk nog niet begrepen dat dataminimalisatie één van de basisregels is van GDPR.

En hoe gaat het nu verder?

Tot zover de buitenkant. Maar hoe zit het met de binnenkant? Bedrijven moeten nu volop werk maken van de volgende stappen. Ze moeten hun hele bedrijfsvoering doorlichten en waar nodig aanpassen aan de nieuwe regels. Sommige hebben een verantwoordelijke nodig voor de privacy binnen de organisatie, de zogenoemde data protection officer (DPO). Deze mensen zijn zeer schaars op de markt, ze staan zelfs op de lijst van knelpuntberoepen. Een DPO kan trouwens ook niet alles opvolgen wat er zich in het bedrijf afspeelt. De GDPR-regels hebben namelijk gevolgen voor de manier waarop de héle organisatie met persoonsgegevens omgaat. Niet alleen op organisatieniveau, maar ook op de werkvloer. Daarom moet de DPO zijn collega’s op alle niveaus trainen zodat ze zich bewust worden van het belang van privacy en kunnen meedenken over nodige bijsturingen. Ook een interne privacyverklaring is een must. Verder moeten bedrijven een risicometing doen om een goed idee te krijgen van hun privacymaturiteit.

Als startpunt nemen bedrijven best een register van verwerkingsactiviteiten, dat in kaart brengt van wie welke persoonsgegevens verwerkt worden, hoe de gegevens verwerkt worden, waar ze vandaan komen en met wie ze worden gedeeld. Gezien de omvang van sommige organisaties en de complexiteit van sommige verwerkingen is dit geen gemakkelijke opdracht.

Grotere verantwoordingsplicht

Organisaties hebben sinds de invoering van GDPR een grotere verantwoordingsplicht (accountability). Ze blijven verantwoordelijk voor de persoonsgegevens die ze beheren en verwerken, ook al stellen ze een andere partij aan voor de verwerking. Daarom moet alles vastgelegd worden in een contract, de zogenaamde verwerkersovereenkomst. Ook moeten ze opletten wanneer ze bepaalde tools gebruiken voor de verzending van nieuwsbrieven. De servers van sommige tools staan in de VS, waar GDPR niet van toepassing is, en bedrijven niet zeker zijn dat alle regels worden nageleefd. De e-mailadressen (=persoonsgegevens!) die in zo’n tool geüpload worden, worden dan op een niet-GDPR compliant manier opgeslagen en bij eventuele problemen blijft het bedrijf als dataverantwoordelijke verantwoordelijk.

Een ander voorbeeld: wanneer bedrijven foto’s van hun klanten of medewerkers willen gebruiken, moeten ze daarvoor hun expliciete toestemming vragen. Dat is natuurlijk niet nieuw, maar de regels zijn wel strenger geworden. GDPR verbiedt dat de toestemming stilzwijgend of door inactiviteit gegeven wordt. Het moet daarentegen ‘vrijwillig, actief, geïnformeerd en duidelijk gespecificeerd’ gebeuren.

Conclusie

De invoering van GDPR biedt het voordeel dat bedrijven verplicht worden om na te denken over hun bedrijfsprocessen. Het zal echter nog een tijdje duren voor alle bedrijven ‘full GDPR compliant’ zijn. De vraag naar externe hulp zal zeker nog even aanhouden, vooral bij bedrijven die zich dat financieel kunnen veroorloven. Andere, kleinere bedrijven proberen intussen inspiratie te vinden bij gelijkaardige bedrijven-voorlopers of bij beroepsverenigingen.

Ensur was als project manager reeds betrokken bij verschillende GDPR en compliance projecten. In combinatie met onze project management rol, bieden we vanuit onze markt-, product- en proceskennis ook steeds ondersteuning op inhoudelijk vlak. Wilt u een beroep doen op ons, stuur ons dan gerust een mailtje via info@ensur.be .