GDPR vereist dat elke organisatie passende privacyregelingen implementeert en dat zij alle betrokken partijen over die regelingen kan informeren door een privacyverklaring of -beleid te publiceren. Uw plicht om proactief te informeren en transparantie te bieden over de persoonlijke gegevens die u gebruikt en uw privacypositie is een van de belangrijkste vereisten van GDPR. Alleen als belanghebbenden naar behoren zijn geïnformeerd, kunnen zij een weloverwogen beslissing nemen of ze al dan wel of niet bereid zijn zaken met u te doen.

Kortom, zonder een gepubliceerd privacybeleid bent u beslist niet GDPR-compliant en riskeert u uitdagingen van klanten, personeel, leveranciers en de toezichthouder. Het kopiëren en plakken van een privacyverklaring van internet kan waarschijnlijk meer kwaad dan goed doen. GDPR vereist dat uw communicatie specifiek is voor de manier waarop uw bedrijf werkt. Boilerplate of catch all uitspraken, vaag of te complex juridisch jargon wordt expliciet als niet-compliant vermeld in de GDPR-verordening.

Zeker in deze tijd wilt u privacy de aandacht geven die het verdient en het op de juiste manier doen. Het is niet zo moeilijk, en wij bij GDPRWise kunnen zeker helpen. Als u al een privacybeleid heeft, kunt u GDPRWise dit valideren met behulp van onze gratis online Policy Checker. U kunt lid worden van GDPRWise , zodat we u kunnen helpen om in een mum van tijd een conform privacybeleid op te stellen.

Als u een volledig nieuw privacybeleid wilt maken, wilt u er zeker van zijn dat uw privacybeleid minimaal de onderstaande items dekt:

  1. Duidelijke verklaring van verantwoordelijkheden
  2. Verantwoordelijkheden verduidelijken is over het algemeen een goede zaak bij het verschaffen van transparantie. GDPR heeft een aantal belangrijke verantwoordelijkheden uiteengezet die u in uw privacybeleid moet verduidelijken: wie is uw belangrijkste contactpersoon voor GDPR; en voor elke verwerkingsactiviteit wie de gegevensbeheerder is en wie de gegevensverwerker is.

    KMO/MKB-organisaties zijn doorgaans niet verplicht om een ​​formele Data Privacy Officer (DPO) te hebben, tenzij deze betrokken is bij de verwerking van persoonsgegevens op grote schaal. Het wordt echter voor alle KMO/MKB-organisaties aangeraden om een verantwoordelijke te hebben voor privacy, bijvoorbeeld een GDPR-coördinator. Door een GDPR-coördinator aan te stellen, kunt u uw privacy-inspanningen richten en ervoor zorgen dat er een deskundige persoon is die kan fungeren als het enige aanspreekpunt voor vragen of uitdagingen.

    Voor elk van de activiteiten waarin u persoonsgegevens verwerkt, bijvoorbeeld het boeken van klantafspraken, facturering & boekhouding, het versturen van een nieuwsbrief etc. u moet aangeven wie de gegevensbeheerder is en wie de gegevensverwerker. De gegevensbeheerder is de partij die het doel en de middelen van de verwerking bepaalt. De gegevensverwerker is de partij die de gegevens verwerkt in overeenstemming met de instructies van de gegevensbeheerder. Voor de verwerkingsactiviteiten die u intern uitvoert, bent u waarschijnlijk zowel de gegevensbeheerder als de gegevensverwerker. In andere processen zou je beide rollen kunnen vervullen. Zie ons kennisbankitem over het onderwerp voor meer informatie en voorbeelden over de functies van gegevensbeheerder versus gegevensverwerker.

  3. Maak een lijst van de processen die persoonlijke gegevens gebruiken
  4. Een kernaspect van het bieden van transparantie is een overzicht te geven van de verwerking die u onderneemt met betrekking tot persoonsgegevens. U hebt misschien nog niet eerder over dit aspect nagedacht, maar als u dat eenmaal doet, zijn er een paar processen waarbij u persoonlijke gegevens van uw klanten, personeel of leveranciers gebruikt, bijvoorbeeld klantenopname, klantcorrespondentie, facturering, personeelsvergoeding, het versturen van een nieuwsbrief enz. Zorg ervoor dat uw privacybeleid en de processen daarin betrekking hebben op uw online / digitale interacties, bijv. Het aanvraagformulier voor offertes, evenals uw interacties in de winkel / kantoor, bijv. Klantenkaart in de winkel.

    Voor elk van deze GDPR processen moet u transparantie bieden over het zakelijke doel van het proces, de GDPR rechtsgrond, de gebruikte persoonsgegevens en hoelang u de gegevens bewaart. Voor meer informatie over zakelijke doeleinden en de juridische basis van GDPR, zie het speciale Knowledge Base item hierover GDPR vereist een GDPR Rechtsgrond, wat zijn deze?

  5. Maak een lijst van de processen die persoonlijke gegevens delen
  6. Uw bedrijf opereert niet in een silo, maar heeft leveranciers en partners waarmee het samenwerkt en deelt daardoor data. U deelt gegevens met uw accountant, uw HR-verwerker, uw IT-ondersteuningspartner, om er maar een paar te noemen. Maar net zoals u cloudsoftware gebruikt, bijvoorbeeld een CRM-tool of online reserveringstool, worden de persoonlijke gegevens die u op die platforms vastlegt, gedeeld met de softwareleverancier. Al deze interacties zijn volkomen normaal en GDPR verbiedt deze niet, het staat er alleen op dat u de partijen informeert, zodat ze een weloverwogen beslissing kunnen nemen over het al dan niet doen van zaken met uw bedrijf.

    Zorg er dus voor dat u de processen vermeldt die persoonlijke gegevens delen en met wie u gegevens deelt, bijv. Gegevens die u deelt met uw accountant, IT-partner etc. of door het gebruik van cloud-platforms zoals Facebook, Mail-chimp, Stripe etc. Als u gegevens buiten de EU deelt, moet u aangeven hoe u ervoor zorgt dat er passende maatregelen worden genomen om de veiligheid en privacy van de gegevens te waarborgen. Dit kan een complex onderwerp zijn en het is misschien niet al te duidelijk of uw gegevens de EU verlaten of niet. Zie voor meer informatie onze kennisbank in Wat als ik niet zeker weet of de data in de EU is opgeslagen?

  7. Sociale media
  8. Als uw bedrijf sociale media gebruikt, waarschuw dan gebruikers dat sociale mediaplatforms hun persoonlijke gegevens verwerken en hun eigen privacybeleid hebben dat verschilt van het uwe. Noem uw bedrijf en het platform wordt waarschijnlijk beschouwd als gezamenlijke gegevensbeheerders.

  9. GDPR rechten
  10. GDPR geeft ons allemaal controle over onze persoonlijke gegevens, wat een van de grote voordelen van de verordening is. Telkens wanneer een organisatie onze persoonsgegevens verwerkt, geeft GDPR ons een aantal rechten waarop we een beroep kunnen doen. Ieder van ons kan deze rechten op elk moment uitoefenen.

    Vanuit het perspectief van de organisatie die de persoonlijke gegevens van individuen gebruikt, moet u ervoor zorgen dat u individuen informeert over hun rechten en tegelijkertijd de juiste processen implementeert om ervoor te zorgen dat ze hun rechten snel kunnen uitoefenen.

    Zorg er dus voor dat u een lijst maakt van de AVG-gegevensrechten die uw gebruikers hebben en hoe ze deze kunnen uitoefenen. Geef ook aan hoe gebruikers contact met u kunnen opnemen en indien nodig een klacht kunnen indienen bij de relevante autoriteit. Houd er rekening mee dat de toezichthouder aanbeveelt een speciaal communicatiekanaal op te zetten voor alle privacygerelateerde kwesties. Dus vermijd het hergebruik van info@mijnbedrijf.com en stel een speciale privacy@mijnbedrijf.com mailbox in.

Als u eenmaal een goed privacybeleid heeft dat de bovenstaande items dekt, zorg er dan voor dat u ernaar verwijst in al uw communicatie om te voldoen aan de GDPR-vereiste om de betrokkenen proactief te informeren:

  • publiceer uw privacybeleid als een link op het hoogste niveau op uw website, bijvoorbeeld in de voettekst van uw website. Zorg ervoor dat de link zichtbaar is vanaf alle pagina’s. Verberg uw privacybeleid niet in een document met algemene voorwaarden, aangezien de AVG vereist dat het direct en prominent zichtbaar is.
  • verwijs naar uw privacybeleid in uw e-mail door een e-mailvoettekst toe te voegen
  • verwijs naar uw privacybeleid in uw marketing-e-mails, samen met de mogelijkheid om u af te melden
  • verwijs naar uw privacybeleid op elk van de sociale mediaplatforms die u gebruikt in de sectie Over-uw-bedrijf
  • we raden u aan om een ​​specifiek privacybeleid voor uw personeel (en onafhankelijke contractanten) te hebben en dit als bijlage bij de arbeidsovereenkomst te voegen.

Als dit allemaal een beetje te veel klinkt, weet dan dat GDPRWise het voor u heel snel en gemakkelijk heeft gemaakt om een ​​passend privacybeleid te krijgen. GDPRWise heeft het harde werk voor u gedaan door zeer specifiek ingevulde dossiers te maken op maat van uw branche. We hebben 80% van het werk gedaan, je hoeft alleen maar te valideren en te verfijnen. Klik hier om uw gratis GDPRWise-account aan te maken.