Geldt de GDPR voor mijn organisatie?
Met deze 4 vragen kom je erachter
Of je nu werkt in een groot of een klein bedrijf, en of je nu actief bent als een B2B of een B2C, je zult in mei hoogstwaarschijnlijk te maken krijgen met de GDPR. De General Data Protection Regulation is namelijk van toepassing op alle bedrijven die beschikken over persoonsgegevens. Dit is iets waar je al heel snel over beschikt; denk maar eens aan je verloning, nieuwsbriefinschrijvingen en natuurlijk klantgegevens. Met de 4 vragen hieronder krijg je een beter beeld van de GDPR en de toepassing hiervan op jouw organisatie.
Toepassing van de GDPR
Ondanks de grote hoeveelheid informatie die over dit onderwerp gedeeld wordt, blijken er nog maar weinig bedrijven daadwerkelijk klaar te zijn voor deze wetgeving, terwijl delen van de wet nu al actief zijn. Veel organisaties denken dat de GDPR niet op hen van toepassing is, of willen er om budgetredenen pas later mee aan de slag gaan. Wanneer je hier niet op tijd mee begint loop je echter niet alleen risico op hoge boetes (tot wel 4% van de jaaromzet), ook bestaat er een kans dat er in de organisatie niet zorgvuldig wordt omgegaan met persoonsgegevens… Mocht je je nog steeds afvragen of de GDPR van toepassing is op jouw organisatie, stel jezelf dan deze 4 vragen:
1 Over welke data beschik je allemaal?
Wat voor gegevens worden allemaal verzameld door jouw organisatie? Beschik je over gegevens zoals email adressen, namen of zelfs rekeningnummers? Dan beschik je over persoonsgegevens. Volgens de GDPR wetgeving zijn persoonsgegevens “alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Alle gegevens die informatie kunnen verschaffen over, of herleidbaar zijn naar, een persoon moeten volgens deze redenering als persoonsgegevens worden beschouwd. Dit omvat niet alleen geschreven tekst maar ook beeld en geluid.
2 Waar wordt al deze data opgeslagen?
Veel bedrijven beschikken over meer dan 1 systeem met gegevens zoals bijvoorbeeld een CRM en ERP systeem. Daarnaast hebben veel bedrijven ook nog eens branche specifieke softwarepakketten. Om aan de GDPR wetgeving te voldoen heb je niet alleen een overzicht nodig van al je systemen, maar ook alle datamodellen die hierachter schuilen. Je moet namelijk te allen tijde kunnen aantonen waar je data vandaan komt en waar het gebruikt wordt. Dit brengt ons direct naar de volgende vraag, namelijk waar de data allemaal voor gebruikt wordt. Dit brengt ons direct naar de volgende vraag, namelijk waar de data allemaal voor gebruikt wordt.
3 Waar wordt de data allemaal voor gebruikt?
Verzamelde persoonsgegevens moeten namelijk een doel hebben en dit doel moet gedocumenteerd en gecommuniceerd worden met de betrokkene. Dit betekent ook dat oude gegevens die niet meer gebruikt worden, omdat het doel hiervan voltooid is, na bepaalde tijd moeten worden verwijderd.
4 Wie heeft toegang tot deze data?
Je moet dus weten welke data je hebt, waar dit allemaal gevonden kan worden en waar het voor gebruikt wordt. Maar heb je ook al nagedacht over wie er allemaal toegang hebben tot al deze systemen? Wordt dit ergens geregistreerd en beheerd? En hoe zit dat met data die geëxporteerd wordt naar pdf of excel bestanden om daarna gedeeld te worden? Het is heel belangrijk dat de toegang tot persoonsgegevens geregistreerd is. Als je niet zeker weet wie allemaal bij je data kan komen, weet je nooit zeker waar deze data allemaal voor wordt gebruikt en waar deze verspreid wordt.
Beginnen met de GDPR
Door de hoeveelheid informatie die rond gaat over de GDPR kun je soms door de bomen het bos niet meer zien. De wetgeving laat echter niet op zich wachten. Het goede nieuws is dat je niet 100% compliant hoeft te zijn op 25 mei. Je moet er echter wel mee begonnen zijn en dit kunnen aantonen.