In de loop der jaren is het steeds moeilijker geworden om de concepten rond GDPR (of AVG) te missen.
Tussen de vele boetes (deze week ging er nog een monsterboete naar Meta van maarliefst 1,2 miljard euro) en de steeds groter wordende media-aandacht, zijn organisaties en mensen snel gewend aan het gebruiken van de term.
Hoewel de GDPR een continu evoluerend concept is, is het voor veel organisaties iets statisch geworden, waarvoor een eenmalige buy-in voldoende lijkt.
Ter ere van 5 jaar GDPR hebben we de vrijheid genomen om 5 concepten samen te stellen die allesbehalve statisch zijn, en mogelijk actie van uw kant vereisen. Laten we eens kijken naar die to do-lijst, shall we?
Verhoog uw GDPR-maturiteit
1. Gegevensretentie: hoe lang bewaart u uw gegevens?
Volgens de GDPR mogen persoonsgegevens bewaard blijven zolang dit nodig is. In tegenstelling tot wat vaak wordt gedacht, is dit echter geen wildcard om persoonlijke gegevens zo lang als men wilt te bewaren.
De GDPR wijst er immers in dezelfde adem op dat verwerkingsverantwoordelijken de grens van deze bewaarplicht moeten bepalen. Zodra deze grens wordt overschreden, kunnen persoonsgegevens niet meer worden bewaard.
Met het invoeren van een te lange bewaartermijn van persoonsgegevens, kom je echter niet ver. Inbreuk hiertegen kan leiden tot een fikse boete. Persoonsgegevens moeten immers zo kort mogelijk bewaard worden. Zodra de behoefte aan retentie verdwijnt, moeten de persoonsgegevens dit ook doen.
Concreet actiepunt: Onderzoek of er bewaartermijnen voor verzamelde persoonsgegevens zijn, en of deze vastliggen in een policy (zo kunnen ze makkelijk geraadpleegd worden en garandeert je organisatie transparantie).
2. Update het cookie- en privacybeleid
Helaas gaat het hier niet om verjaardagskoekjes, maar wel over technische tracking cookies.
Het is belangrijk om het cookie- en privacybeleid van de organisatie up-to-date te houden. Dit is in de eerste plaats een verplichting, maar deze policies zijn ook gewoonweg de eenvoudigste manier om je (potentiële) klanten en bezoekers te informeren over wat er met hun persoonsgegevens gebeurt.
De privacy- en cookie policy zijn als het ware directe communicatiepunten met de organisatie; transparantie moet hier uiteraard gegarandeerd worden.
Een onderneming staat niet stil. Wanneer er veranderingen plaatsvinden, is het belangrijk om te checken of je cookies- en privacy policies nog in lijn zijn met deze aanpassingen.
Wanneer was de laatste keer dat u een grondige update deed van uw beleid? Dit is het uitgelezen moment om er werk van te maken; en ineens te checken of uw tekst ook makkelijk verstaanbaar is.
3. Bijwerken van het Register van Verwerkingsactiviteiten
Een concept dat een grote rol speelt onder de AVG/GDPR, is de verantwoordelijkheid van zowel de verwerkingsverantwoordelijke, als de verwerker.
De organisatie moet op ieder moment in staat zijn om verantwoording te kunnen afleggen aan de toezichthoudended authoriteiten. Hiervoor gebruik je een register van verwerkingsactiviteiten.
Dit laat toe om efficiënt te kunnen zien wat uw organisatie van plan is met de verzamelde persoonlijke gegevens, verhoogt u uw kans om verantwoording af te leggen wanneer u dat moet doen.
Een concreet actiepunt in dit verband zou zijn om het register van verwerkingsactiviteiten van uw organisatie opnieuw te bekijken en alle verouderde informatie bij te werken.
Door er nu tijd en moeite in te steken, kun je later veel tijd en stress besparen.
4. Doorgiften naar derde landen
Overdrachten van derde landen, met name naar de Verenigde Staten, zijn de afgelopen 5 jaar een hot topic geweest. Omdat het onderwerp veel aandacht kreeg in literatuur en jurisdictie, begrepen veel organisaties snel de ernst van de situatie.
Er lijkt niet snel een einde te komen aan de vereiste waakzaamheid, aangezien het nieuwe adequaatheidsbesluit van de Europese Commissie nu al in twijfel wordt getrokken.
Dit is potentieel een gevaarlijk feit. Vooral gezien het feit dat sommige organisaties zich niet realiseren dat ze mogelijk persoonlijke gegevens naar de VS of elders in de wereld sturen.
Het is immers cruciaal om te voorkomen dat u een boete krijgt voor niet-naleving, vooral niet-naleving waarvan u in de eerste plaats niet eens op de hoogte was.
In deze context zou een actief actiepunt zijn om te kijken naar alle databewegingen binnen uw organisatie. Veel cloudopslagoplossingen zullen bijvoorbeeld de persoonlijke gegevens die erop zijn opgeslagen naar de VS overbrengen. Er bestaan immers cloudopslagoplossingen die gegevens opslaan binnen de EER, wat zorgt voor een verminderd risico.
5. Rechten van betrokkenen
Als betrokkenen in staat zijn om hun rechten uit te oefenen en u in staat bent om efficiënt te reageren, bent u al op de goede weg.
Nu betrokkenen alleen maar meer en meer bevoegdheden krijgen, zult u ongetwijfeld een toestroom van betrokkenen zien die proberen hun rechten uit te oefenen.
Hoewel het mogelijk is dat u nog nooit een betrokkene hebt gehad die zijn recht probeert uit te oefenen, betekent dit niet dat u geen efficiënte manier van werken hoeft te hebben. Immers, als iemand besluit om gebruik te maken van zijn rechten, heb je maar 30 dagen om te reageren. Met andere woorden, soms telt elk moment.
Daarom is een actief werkpunt om uw organisatie onder de loep te nemen. Is er een manier voor betrokkenen om contact met u op te nemen om hun rechten uit te oefenen? Zo ja, hoe lang duurt het gemiddeld voordat u reageert?
De AVG is progressief, net als uw organisatie
Bij CRANIUM hechten we waarde aan de GDPR-compliance van uw organisatie. Stap voor stap werken we aan het bouwen van een meer privacyvriendelijke wereld, terwijl we u helpen uw verplichtingen beter te begrijpen.
Immers, door GDPR compliance op te splitsen in meer beheersbare en actieve werkpunten, is er een grotere kans dat jouw organisatie GDPR compliant is en blijft.
Voor een meer overzichtelijke lijst van onze concrete actiepunten, bekijk de checklist die we aan deze blogpost hebben toegevoegd. Voel je vrij om het te downloaden en te gebruiken als een actielijst tijdens deze feestelijke GDPR-maand!