Gepubliceerd op: 25 januari 2019
2018 was ongetwijfeld het jaar van de privacy. Op 25 mei ging de GDPR officieel van kracht. We werden om de oren geslagen met tips & tricks. Nu de storm wat is gaan liggen en de eerste sancties worden uitgedeeld, geeft onze data protection officer vijf tips mee die u nog nergens las.
Ons land telt nu zo’n 3.540 data protection officers. 2.551 Daarvan werden na 25 mei aangemeld. Ook Select heeft sinds 2018 een data protection officer. Hij geeft hieronder enkele tips voor wie nog aan z’n GDPR-proofheid wilt werken.
Tip 1: Start met data flow mapping
Om zo’n mapping op te stellen, vertrek je vanuit drie vragen: Hoe & waar verzamelen we gegevens? Waar bewaren wij deze gegevens & hoe worden deze intern gebruikt? Wanneer worden deze gegevens overgemaakt aan derden?
Zet de antwoorden in een tabel en maak verbindingen die de datastromen weergeven. Zo krijg je een duidelijk overzicht van alle data in je bedrijf. Het is een grote oefening, maar nadien kan je dankzij die mapping veel efficiënter een verwerkingsregister opmaken en een duidelijk overzicht krijgen van alle verwerkers. Je komt ook later niet voor verrassingen te staan want hebt alles al in een overzicht gegoten.
Bij een inspectie is zo’n mapping samen met een verwerkingsregister de ideale manier om in een oogopslag een duidelijk beeld te krijgen van alle persoonsgegevens in je bedrijf. Heb je al zo’n verwerkingsregister? Dan kan het interessant zijn om deze eventueel te verduidelijken of aan te passen.
Tip 2: Duid een verantwoordelijke aan en volg een stappenplan
Aan alle verplichtingen voldoen, is voor elke organisatie een heuse uitdaging die veel tijd vergt. Als de naleving van die verplichtingen bij verschillende personen zit, is het moeilijk om dit te coördineren. Stel daarom een stappenplan op met deadlines, dit zorgt voor een betere opvolging en zo kan je aan autoriteiten ook duidelijk schetsen welke acties er wanneer zijn genomen.
Dit staat los van de verplichting om een DPO aan te duiden. Indien er wel een DPO is, raad ik natuurlijk aan om hem alles te laten coördineren.
Tip 3: Awareness is key
Select telt ondertussen meer dan 20 kantoren. We zijn naar aanloop van 25 mei in elk kantoor langs gegaan om elke werknemer persoonlijk op te leiden. Dit is volgens mij een absolute aanrader aangezien een webinar toch vaak maar met een half oor gevolg wordt en niet dezelfde interactie teweeg brengt. Je kan ook de nadruk leggen op interne procedures en richtlijnen en de effectieve toepassing ervan. En antwoorden op praktische vragen.
Naast de opleidingen hebben we ook gezorgd voor informatieve brochures en de nodige awareness op het intranet, maar uit ervaring kunnen we meegeven dat de één op één opleiding het meeste effect heeft.
Door in ieder kantoor langs te gaan, zorg je ervoor dat privacy een gezicht krijgt. Iedereen weet wie ze moeten aanspreken. En je komt zo als DPO ook extra informatie over het bedrijf te weten. Er kan bijvoorbeeld een camerabewaking zijn, waar je nog niets vanaf wist en waarvoor extra verplichtingen nageleefd moeten worden.
Tip 4: Duidelijke communicatie werkt het beste
Transparantie is een must. Bij Select gaan we dan ook een stap verder. We beperken ons niet tot een beknopte privacyverklaring maar voegen ook een uitgebreide werkwijze toe. Deze kan je terugvinden op onze website, maar lichten we ook steeds persoonlijk toe. Ook al onze interne documenten kregen een upgrade: arbeidsregelement, laptop en car policy, arbeidsovereenkomst, etc. Onze werknemers zijn perfect op de hoogte van wat er wanneer met hun persoonsgegevens gebeurt.
Transparantie geldt ook voor interne richtlijnen. Hoe duidelijker die zijn, hoe beter ze worden nageleefd. Leg bijvoorbeeld uit waarom er een clean desk policy is, een papierversnipperaar gebruikt moet worden en persoonsgegevens maar een bepaalde duur mogen worden bijgehouden. GDPR vraagt in het begin om een grondige aanpassing, maar ik merk dat er bij Select veel begrip is voor de bescherming van persoonsgegevens. Bovendien willen we bij Select kwaliteit blijven bieden. Transparant zijn over de bescherming van persoonsgegevens is voor ons dus niet alleen een verplichting in GDPR-opzicht, maar ook een verplichting die we onszelf opleggen.
Tip 5: Denk aan je security!
Hoewel er ook met waarschuwingen gewerkt wordt, zijn er al sancties uitgedeeld. Als we kijken naar de sancties die autoriteiten in het buitenland hebben gegeven, gaat het vooral over sancties op gebied van security. Datalekken zijn de grootste boosdoeners. Je doet er dus maar beter alles aan om ze te voorkomen, zowel online als offline. Ook bij Select is dit de prioriteit. Het is daarnaast ook aangewezen om beveiliging in het algemeen serieus te nemen en de nodige stappen te zetten.
Wat doet onze DPO?
Als DPO is mijn takenpakket heel breed. Allereest ben ik het aanspreekpunt voor alles rond privacy. Ik informeer en adviseer het personeel en zie erop toe dat de verplichtingen worden nageleefd binnen de onderneming. Dit door middel van controles en audits.
Daarnaast stel ik verwerkingsregisters, risico analyses, een incidentenregister en een beleidsplan op en houd ik deze up to date.
Ik volg lopende projecten en nieuwe ontwikkelingen op en review policies, richtlijnen en verwerkersovereenkomsten. Alles met het zicht op GDPR, gegevensbescherming en het behoud van onze kwalitatieve dienstverlening.