Als ondernemer hebt u heel wat aan uw hoofd. Zo bent u full-time bezig met het tevreden houden van uw klanten. Juridische verplichtingen staan waarschijnlijk niet op nummer één in uw prioriteitenlijst.
Toch is het belangrijk om voldoende aandacht te besteden aan de manier waarop u omgaat met de persoonsgegevens van uw klanten. Dit zorgt immers voor een stevige vertrouwensrelatie tussen uzelf en uw klanten.
Welke verplichtingen heeft u om in orde te zijn met de Algemene Verordening Gegevensbescherming?
1. Privacyverklaring
Iedereen die persoonsgegevens verwerkt, moet transparant communiceren over de manier waarop hij/zij dat doet. Dit gebeurt via een privacyverklaring.
Bij het ondernemen komt u onvermijdelijk in aanraking met de verwerking van persoonsgegevens. Bijvoorbeeld bij het invullen van het contactformulier of wanneer een klant zich inschrijft op uw nieuwsbrief, en zeker bij het plaatsen van een bestelling.
In een privacyverklaring wordt meer informatie gegeven over wie de informatie verwerkt, welke informatie wordt verwerkt, en voor welke doeleinden deze wordt verwerkt.
Ook de gronden op basis waarvan persoonsgegevens worden verwerkt worden in dit document opgelijst (denk maar aan: toestemming, de uitvoering van een overeenkomst, gerechtvaardigd belang,…).
Bovendien staat ook aangeduid wie de persoonsgegevens zal ontvangen. In veel gevallen zal u niet de enige zijn die de persoonsgegevens kan inkijken. Ook uw websitebouwer of IT-expert zal in veel gevallen toegang hebben tot deze gegevens. Het is niet onbelangrijk om op dit vlak ook de nodige bescherming te voorzien en een overeenkomst af te sluiten.
2. Verwerkingsregister
Een verwerkingsregister is een intern document dat wordt gebruikt om een overzicht te behouden: welke verwerkingen gebeuren er, welke gegevens worden verwerkt, hoelang worden deze opgeslagen, wie kan ze bekijken? Dit document bevat onder andere de verwerkingsdoeleinden, welke categorieën van persoonsgegevens die worden verzameld, wie deze gegevens kan bekijken en vooral: welke maatregelen worden genomen ter bescherming van de gegevens.
Door een verwerkingsregister goed bij te houden en regelmatig een update te geven, blijft u zelf ook goed op de hoogte van alle privacygerelateerde aspecten van uw website, en bij uitbreiding ook van uw onderneming. De Gegevensbeschermingsautoriteit zal dit register als eerste opvragen bij een eventuele controle.
3. Incidentenregister
Zodra er sprake is van een datalek, bent u verplicht deze inbreuken bij te houden in een register en deze te melden aan de gegevensbeschermingsautoriteit binnen de 72 uur. In dergelijk register wordt bijgehouden wat er is gebeurd, op welke manier het probleem werd afgehandeld en welke maatregelen werden genomen om de gevolgen van het datalek te beperken.
Wanneer er een groot risico is voor de rechten en vrijheden van personen van wie de persoonsgegevens zijn gelekt, moeten zij ook op de hoogte gebracht worden. Een datalekkenbeleid binnen uw onderneming dat hierover procedure vaststelt, is geen overbodige luxe.
