Privacybeleid in 2020: hoe begin je eraan?

Het privacybeleid binnen een onderneming moet opgevolgd worden doorheen het jaar. De strikte privacyregelgeving die er bestaat, zoals de beruchte GDPR, kan ondernemingen immers zuur opbreken wanneer er inbreuken vastgesteld worden. Een behoorlijk complexe materie met zeer veel facetten. Onze experts Privacy & IT raden daarom aan om jaarlijks een actieplan op te maken, dat gekoppeld is aan het privacybeleid. Wat je daarvoor moet doen? Dat lees je hieronder



Zorg voor een privacyverantwoordelijke


Wie privacybeleid zegt, kijkt automatisch naar de Data Protection Officer (DPO). Heeft je bedrijf geen officiële DPO? Dat is vaak ook niet verplicht. Toch raden we aan om iemand aan te stellen die de taak van DPO opneemt. Deze ‘privacyverantwoordelijke’ treedt op als centraal meldpunt en interne toezichthouder voor de bescherming van persoonsgegevens. Hij of zij is een aanspreekpunt voor alle mogelijke vragen en opmerkingen in verband met privacy of GDPR.

Door deze taak te centraliseren bij één persoon garandeer je een duidelijke stroomlijning en opvolging van je privacybeleid. Dat resulteert in meer transparantie over wat jullie doen met persoonsgegevens. En dat zorgt er dan weer voor dat het vertrouwen in je onderneming groeit, zowel intern als extern.


Wie is het meest geschikt als privacyverantwoordelijke?


De privacyverantwoordelijke is best iemand die deze taak vervult op een onafhankelijke manier, zodat er zeker geen belangenconflict is. Hij/zij kan daarom beter niet zelf een rol spelen bij het bepalen van het doel en de middelen waarbij gegevens verwerkt worden binnen de onderneming. Lees: bij voorkeur niet het hoofd van de marketing-, HR- of IT-afdeling van je onderneming.

Kijk eerder in de richting van een medewerker van de juridische dienst of van de IT-afdeling. Meestal is die voldoende vertrouwd met de verwerkingsactiviteiten in je onderneming, en op de hoogte van de relevante regelgeving.


Wat zijn de taken van de privacyverantwoordelijke?


De privacyverantwoordelijke heeft de volgende kerntaken binnen de onderneming:

  • Informeren en adviseren: werknemers en management informeren en adviseren over de verplichtingen die opgelegd zijn door de GDPR en andere privacyregelgeving.
  • Opleiden: werknemers die betrokken zijn bij de verwerking van persoonsgegevens bewust maken en opleiden over de privacyregelgeving.
  • Toezicht: erop toezien dat de interne richtlijnen worden nageleefd. En dat er bij wijzigingen in diensten of bij een uitbreiding van de onderneming altijd aandacht is voor de eventuele gevolgen voor het beleid rond persoonsgegevens.
  • Contactpersoon: fungeren als het centrale contactpunt voor verzoeken, klachten en vragen van zowel de betrokkenen als de gegevensbeschermingsautoriteit.
  • Bijstand: de onderneming assisteren bij de verplichtingen die haar opgelegd worden door de privacyregelgeving.
  • Rapportering: op gezette tijdstippen rapporteren over de status van elk van bovenvermelde taken, aan de hoogste leidinggevende van de onderneming.


Het privacy actieplan

Op basis van de resultaten die de privacyverantwoordelijke rapporteert, kan je vervolgens een jaarlijks ‘privacy actieplan’ opstellen. We geven hieronder een aantal voorbeelden van punten die daarin zeker aan bod kunnen komen:

  • Interne opleiding en sensibilisering: De interne kennis over de privacyregels en het beleid moet up to date blijven. Op basis van de resultaten van het afgelopen jaar kan je op dit vlak specifieke actiepunten in kaart brengen. Uit steekproeven van behandelde klachten kan bijvoorbeeld blijken dat er nog onduidelijkheid heerst over hoe werknemers hiermee moeten omgaan en wat hun specifieke rol is. In dat geval kan je in het actieplan opnemen dat verdere opleiding of sensibilisering noodzakelijk is. Bijvoorbeeld met interne workshops, een periodieke nieuwsbrief, …
  • Toezicht: Hoe wordt het toezicht voor 2020 concreet ingevuld? Ook hier kan je weer vertrekken vanuit de resultaten. Wanneer bijvoorbeeld blijkt dat bepaalde persoonsgegevens langer bewaard worden dan strikt noodzakelijk, is het misschien tijd om de retentietermijnen te evalueren. De privacyverantwoordelijke kan eventueel periodieke audits inlassen om dit kort op te volgen.
  • Bijstand: Werden er het afgelopen jaar opvallend veel verzoeken ingediend voor inlichtingen over het gebruik van persoonsgegevens voor marketingdoeleinden? Dan is je privacyverklaring waarschijnlijk onduidelijk en moet je ze aanpassen. In dat geval kan de privacyverantwoordelijke bijstand verlenen.
  • Rapportering: Welke resultaten zullen opgevolgd worden, hoe zal dat gebeuren, hoe en wanneer wordt er gerapporteerd?


Bron: https://degroote-deman.be/

Mots clés

Articles recommandés