Wij hebben er al meer over geschreven: Per 25 mei 2018 krijgen alle organisaties in Europa te maken met de General Data Protection Regulation (GDPR). Door de komst van de GDPR veranderen de privacyrechten van burgers. Wanneer u met persoonsgegevens werkt krijgt u te maken met nieuwe verplichtingen. U moet als organisatie uw verantwoordelijkheid te nemen hier volledig aan te voldoen om sancties te voorkomen.

Bent u op de hoogte welke verplichtingen u heeft en wat deze precies inhouden? Wij zetten de 3 grootste valkuilen voor u op een rij zodat u optimaal voorbereid de nieuwe privacywetgeving tegemoet gaat.

Valkuil 1: Uw privacyverklaring is niet begrijpbaar voor iedereen

Privacyverklaringen zijn essentieel om te weten wat er gebeurd met uw persoonlijke gegevens. Iedereen krijgt te maken met privacyverklaringen, maar door de complexiteit van de tekst komt het steeds vaker voor dat deze maar half of helemaal niet gelezen worden. De meeste verklaringen zijn vaak erg lang van stof en bevatten veel juridische termen. Voor de nieuwe GDPR moet alle informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk moeten zijn. Als uw privacyverklaring niet begrijpbaar is kan er vanuit de nieuwe privacywetgeving om herziening worden gevraagd.

Door een gelaagde opbouw maakt u uw privacyverklaring begrijpbaar voor uw lezer. Begin met de hoofdlijnen en leg vervolgens gedetailleerd uit wat er gebeurd met de persoonsgegevens. In elke laag kan er vervolgens dieper ingegaan worden op de stof om het begrijpbaar te maken voor de lezer. Houd hierbij ook rekening met de taal die uw doelgroep spreekt.

U heeft nog tot 25 mei 2018 om volledig aan de GDPR te voldoen. Meld u aan voor de GDPR Masterclass voor een optimale voorbereiding. Er zijn nog maar een paar plaatsen beschikbaar!
Meld u aan voor de GDPR Masterclass »

Valkuil 2: U weet niet wat er allemaal valt onder persoonsgegevens

Persoonsgegevens omvatten alle gegevens die informatie geven over een, volgens de wet,  identificeerbaar persoon. Voor de hand liggende persoonsgegevens zijn bijvoorbeeld; naam, adres, woonplaats, BSN-nummer en e-mail adres. Bij minder voor de hand liggende persoonsgegevens kunt u denken aan kentekengegevens of ip-adressen.

Maar niet alleen de gegevens waarmee een persoon zich ook daadwerkelijk kan identificeren vallen onder persoonsgegevens. Ook gegevens die personen individualiseren binnen een groep vallen hieronder. Denk bijvoorbeeld aan het type woning van een persoon. Dit vertelt iets over een inkomen. Daarnaast wordt er in de nieuwe GDPR ook onderscheid gemaakt tussen ‘gewone persoonsgegevens’ en ‘bijzondere persoonsgegevens’. Binnen bijzondere persoonsgegevens kunt u denken aan ras, godsdienst, politieke voorkeur, strafrechtelijk verleden en gezondheid.

De verscheidenheid in persoonsgegevens is groot. Om te voldoen aan de nieuwe privacywetgeving is het daarom van belang om eerst voor uzelf in kaart te brengen welke soorten persoonsgegevens er allemaal zijn. Vervolgens moet u tijdig inventariseren met welke u te maken heeft of krijgt en welke u moet opnemen in uw administratie.

Download voor een optimale voorbereiding op de GDPR onze whitepaper »

Valkuil 3: Niet al uw datalekken worden geregistreerd

Een datalek is ieder incident binnen de beveiliging waarbij er persoonsgegevens verloren zijn geraakt, of onwettig zijn gewijzigd, verstrekt of bekeken. U kunt hierbij denken aan een gestolen laptop met een klantenbestand, een hack of cyberaanval waarbij persoonsgegevens worden veroverd of een e-mail die naar een verkeerd adres is verzonden.

Binnen de huidige privacywetgeving dienen bedrijven in hun administratie bij te houden wanneer er een relatief groot datalek heeft plaatsgevonden met nadelige gevolgen. Voor de nieuwe privacywetgeving bent u verplicht uw administratie hierin uit te breiden. Zo moeten alle inbreuken die in verband staan met persoonsgegevens geregistreerd worden. Zelfs de kleine incidenten waar in eerst instantie geen meldingsplicht voor gold.

Maar niet alle incidenten die geregistreerd worden moeten ook gemeld worden. Alleen wanneer een datalek negatieve gevolgen heeft, zoals identiteitsfraude of reputatieschade. moet er melding van gemaakt worden. De controle op uw administratie is streng. Zorg er daarom voor dat u dit op orde heeft om sancties in de vorm van hoge boetes te voorkomen.

Bereid u goed voor op de komst van de GDPR

Wij begrijpen dat er met de komst van deze nieuwe wet veel nieuwe informatie op u af komt waardoor u door de bomen het bos niet meer kunt zien. Tijdens de GDPR Masterclass bereiden wij u in één dag optimaal voor op de nieuwe privacywetgeving.

Meld u aan voor de GDPR Masterclass »