Data Privacy Day. Drie best practices inzake GDPR in ABC

Op 28 januari 2023 is het Data Privacy Day

Deze dag staat integraal in het teken van het vergroten van het bewustzijn inzake gegevensbescherming en om best practices inzake gegevensbescherming te promoten. In het kader van deze dag, hebben wij daarom een aantal best practices voor uw onderneming uiteengezet, op basis van onze expertise met betrekking tot gegevensbescherming. 

Op maatschappelijk vlak worden ondernemingen zich meer en meer bewust van de impact van gegevensbescherming, en terecht. Indien uw onderneming niet compliant is met GDPR, loopt deze immers aanzienlijke risico’s; denk maar aan boetes, schadeclaims of een enorme (en vaak onherstelbare) reputatieschade die tot jaren later kan nazinderen. 

Daarom geven wij u de eerste drie letters van het GDPR alfabet prijs: A, B en C, zijnde ‘audit’, ‘bewustzijn’ en ‘compliance’.

A.Audit

Alle grote ideeën die tot een succesvol resultaat leiden, hebben één gemene deler: een plan uitgevoerd door mensen met de nodige expertise. 

Toegepast op GDPR, betekent dit dat er eerst een implementatieplan dient te worden opgemaakt op maat van de onderneming, nadat uw onderneming werd onderworpen aan een screening (een ‘audit’). Tijdens die audit worden onder meer de reeds bestaande en ontbrekende documenten, de risico’s voor uw onderneming, etc. in kaart gebracht.

Uw onderneming dient immers verplicht een aantal documenten te voorzien (waaronder een privacy policy, een cookie policy, een register der verwerkingsactiviteiten, een register inzake gegevenslekken, etc.). Het ontbreken van die documenten vormt reeds een inbreuk op GDPR. Daarnaast stellen wij ook vast dat veel ondernemingen documenten gaan kopiëren van andere ondernemingen (zoals privacy policies, etc.): die ondernemingen dienen zich bewust te zijn van de risico’s. Die documenten zijn immers specifiek en opgemaakt aan de hand van de onderliggende datastromen van de betrokken onderneming. 

Kopiëren van documenten kan dus verstrekkende gevolgen hebben:

1.De documenten zijn foutief en voldoen niet aan het wetgevend kader;

2.De documenten zijn niet afgestemd op uw onderliggende datastromen;

3.De documenten houden geen rekening met de meest recente rechtsspraak en adviezen.

Kortom, bij het kopiëren stelt u zich bloot aan mogelijke negatieve gevolgen en zelfs sancties, terwijl het opstellen van deze documenten het voorkomen van sancties voor ogen houdt.

B.Bewustzijn

Eén van de grootste risico’s voor uw onderneming inzake GDPR, is het risico waarvan u en uw personeel zich als onderneming niet bewust van is. Uw personeel heeft namelijk de essentiële taak van “bewaker” van uw gegevensbeschermingsbeleid en heeft dus als taak om eventuele inbreuken op GDPR te detecteren en, bij voorkeur, preventief op te treden om deze inbreuken te vermijden. Veel inbreuken inzake GDPR kunnen namelijk worden voorkomen. 

Daarom is het essentieel om uw personeel te informeren via ‘awareness sessions’ inzake GDPR en best practises. 

C.Compliance

Tenslotte, is een algemene compliance met GDPR essentieel voor uw onderneming: dit houdt in dat u na de implementatie een systeem van monitoring en controle opstelt. 

Eén van de belangrijke spelers in dit proces is een Functionaris voor Gegevensbescherming of DPO. Voor sommige ondernemingen is een Functionaris voor Gegevensbescherming verplicht. 

Zelfs indien uw onderneming niet de verplichting heeft om een Functionaris voor Gegevensbescherming aan te stellen, is het aangewezen om een verantwoordelijke aan te stellen die erover waakt dat uw onderneming compliant is met GDPR en zich al dan niet laat bijstaan door een expert in GDPR. 

*   *   *

Dit zijn slechts drie best practices; voor de overige letters van het alfabet, verzoeken we u om contact met ons op te nemen. VDV- iLaw is onder meer ervaren in het uitvoeren van GDPR audits, het verlenen van advies, alsook het organiseren van opleidingen en trainingen (‘awareness sessions’) inzake GDPR in diverse sectoren en voor een divers publiek. 

Voor vragen of bijkomende informatie kan u Mr. Maarten Verhaghe, advocaat en certified DPO (maarten@vdv-ilaw.com) en Mr. Liesbet Demasure, advocaat, certified DPO en Data Protection Lead Auditor (liesbet@vdv-ilaw.com) contacteren.