U hebt er waarschijnlijk niet veel zin in, maar toch zal ook u de nodige stappen moeten ondernemen om in orde te zijn met de GDPR, de General Data Protection Regulation, die strengere regels oplegt i.v.m. het verwerken van persoonsgegevens. De deadline is 25 mei 2018, tijd om in actie te schieten dus. Gelukkig reikt Horecafocus u de helpende hand aan.
De GDPR heeft betrekking op elke onderneming die persoonsgegevens verwerkt en daar hoort ook u bij. Niet overtuigd? Sla er onze
eerdere berichten dan even op na.
De GDPR wil verwerkers van persoonsgegevens in de eerste plaats aanzetten tot nadenken over de manier waarop ze gegevens verzamelen en beschermen. Welke gegevens verwerkt u? Waarom doet u dit? Hebt u al die gegevens echt nodig? Hoe gevoelig zijn ze en hoe beveiligt u ze? En wat gebeurt er na afloop met deze gegevens? Het zijn maar enkele van de vele vragen waarmee men u een GDPR-geweten wil schoppen en een nieuwe vorm van gegevensverwerkingsbewustzijn wil creëren. Niet geheel ten onrechte, zoals u ook in eerdere artikels kon lezen, al is de uitwerking ervan een tikkeltje aan de formele kant.
To say the least.
Als verwerkingsverantwoordelijke zal u te allen tijde moeten kunnen aantonen dat u voldoet aan de GDPR. Hoewel dit vanaf nu een nieuwe, blijvende opgave wordt, komt het er vooral op aan dat u uw inspanningen zoveel mogelijk kan documenteren. Bewijzen verzamelen dus en dat doet u nog steeds het best op papier.
Tracht in de eerste plaats aan te tonen dat u zichzelf voldoende geïnformeerd heeft. Door een opleiding te volgen bijvoorbeeld. Horecafocus organiseerde er reeds in Antwerpen, Leuven en De Panne. Hou onze nieuwsbrief in de gaten voor nieuwe data.
Breng ook uw personeel en medewerkers op de hoogte en laat de samenvatting van uw interne meeting aftekenen door alle aanwezigen, ook al bent u zoveel formaliteit niet gewend.
Bied uw werknemers ook een
Interne Privacy Policy aan, waarin u uitlegt wat u met hun persoonsgegevens doet, in uw personeelsadministratie bijvoorbeeld, en wat hun rechten hierbij zijn. Maar maak hen ook bewust dat ook zij, vaak zonder het te weten, dagelijks met persoonsgegevens omgaan van klanten en leveranciers. Denken we aan bankkaartgegevens, reservatiegegevens, klantenkaarten, camerabeelden,…
Voor al die externe individuen zal u overigens ook zo’n document moeten voorzien, de
Externe Privacy Policy, die u hen moet kunnen voorleggen wanneer ze erom vragen.
Bovendien strekt uw verantwoordelijkheid veel verder dan wat er louter binnen uw bedrijf gebeurt. U maakt de persoonsgegevens die u verzamelt ook over aan derde partijen zoals uw boekhouder, sociaal secretariaat, verzekeringsmakelaar,… Omdat u erop moet toezien dat ook zij op een GDPR-conforme manier met uw gegevens omgaan, laat u hen best een
Verwerkersovereenkomst tekenen.
Maar veruit het meeste werk zal u moeten steken in het opstellen van een
Dataregister voor verwerking, een uitgebreide excel waarin u alle persoonsgegevens die u verwerkt oplijst en aangeeft wat het doel van de verwerking is, de bewaartijd, de eventuele derde partij die erbij betrokken is, de beveiligingsmaatregelen,…
Om u hierbij te helpen stelde Horecafocus een uitgebreide GDPR-documentenset op, die wij op uw vraag ook voor u kunnen invullen.