In 5 stappen in orde met de GDPR
Waarom de verstrengde privacywet geen reden vormt voor klamme handjes
Je zou denken dat communicatie-experten zich niet laten intimideren door een vierletterwoord. En toch zorgt de GDPR (General Data Protection Regulation) voor heel wat klamme handjes bij iedereen die zich bezighoudt met digitale nieuwsbrieven, direct marketing en andere gepersonaliseerde communicatie. Ook organisaties die communicatie niet tot hun core business rekenen, voelen zich aangesproken. Want alle bedrijven die vanaf 25 mei niet ‘compliant’ zijn met de verstrengde versie van de privacywet kunnen met klachten en GDPR-controleurs te maken krijgen.
Zweven er in jouw bedrijf – al dan niet gevoelige – persoonsgegevens rond? Heel waarschijnlijk. Is er reden tot paniek nu de GDPR-deadline nadert? Nee. Toch niet als je onze vijf eenvoudige stappen naar GDPR-compliance even doorloopt.
1.
Sluit een overeenkomst met je gegevensverwerkers (Idearté bijvoorbeeld)
De GDPR maakt een onderscheid tussen ‘verwerkingsverantwoordelijken’ en ‘verwerkers’. Die eersten geven een andere partij de opdracht om persoonsgegevens te verwerken. Stuurt Idearté voor jou nieuwsbrieven uit? Dan ben jij de verwerkingsverantwoordelijke en Idearté de verwerker.
Via een verplichte verwerkersovereenkomst zet je de details over elke vorm van gegevensverwerking duidelijk op papier. Bij Idearté stellen we deze overeenkomst zelf op voor al onze verwerkingsverantwoordelijken.
2.
Hou een dataregister bij
Voor iedereen die persoonsgegevens verwerkt, is het aangeraden om daarover gedetailleerde informatie te verzamelen in een dataregister. Op die manier kan je in geval van een controle dadelijk aangeven waarom je bepaalde persoonsgegevens bijhoudt.
Beantwoord in je dataregister volgende vragen voor alle persoonsgegevens die je verwerkt:
- Wanneer en op welke manier heb je de gegevens ontvangen?
- Welke gegevens hou je bij?
- Waarvoor gebruik je de gegevens?
- Hoelang zal je de gegevens bijhouden?
3.
Informeer je huidige nieuwsbriefabonnees over hun uitgebreide rechten
Volgens de GDPR hoeven de personen waarvan de persoonsgegevens al in je bezit zijn, niet uitdrukkelijk opnieuw toestemming geven om hen te (blijven) contacteren via digitale mailings. Je moet jouw abonnees echter wel op de hoogte brengen van hun uitgebreide rechten als gevolg van de GDPR.
Om aan dit voorschrift te voldoen, stuur je best een soort ‘nieuwsflash’ uit naar de contacten in je huidige database, waarin je hen informeert over hun bijkomende rechten met betrekking tot de verwerking van persoonsgegevens.
4.
Vraag om toestemming
Verzamel je nieuwe gegevens via een inschrijvingsformulier op je website of via andere kanalen? Dan verplicht de GDPR je ertoe om de toestemming tot de verwerking daarvan via een actieve handeling te verkrijgen.
Do’s:
- Actieve opt-in voorzien (dus geen op voorhand aangevinkte checkbox)
- Toestemming intrekken even makkelijk maken als toestemming geven (bv. via een duidelijk link om uit te schrijven in je nieuwsbrief)
- Inlichten over de mogelijkheid om de toestemming in te trekken (bv. via een opvallende link naar de privacyverklaring op je website)
Don’ts:
- Lange lijst voorwaarden met onderaan ‘akkoord’
- Kleine lettertjes
5.
Schrijf je privacyverklaring uit in mensentaal
Beknopt, transparant en begrijpelijk. Dat zijn de GDPR-vereisten voor de privacyverklaring op je website. Welke gegevens verzamel je? Hoelang hou je ze bij? Welke derde partijen krijgen de gegevens in handen? Welke rechten hebben betrokkenen in verband met hun eigen gegevens? In je privacyverklaring beantwoord je al deze vragen in de taal van je doelgroep.