Checklist GDPR-conformiteit voor KMO

Gebruik deze checklist om te bevestigen dat u over alle bases beschikt. U vindt meer informatie over elk van de controles voor GDPR conformiteit door de links binnenin te volgen.

1. Wijs een privacycoördinator toe

Onze eerste aanbeveling op onze GDPR-nalevingscontrolelijst is om iemand op de hoogte te stellen als het gaat om GDPR-naleving.

Voor kleinere bedrijven wordt het ten zeerste aanbevolen om een collega of gespecialiseerd extern bedrijf ter plaatse te hebben om de GDPR-compliance van het bedrijf te regelen zonder het een DPO te noemen (om de strenge eisen die ermee gepaard gaan te vermijden). Kleine en middelgrote bedrijven stellen vaak een GDPR-coördinator aan en de toezichthouder moedigt bedrijven aan om dit te doen. Het brengt focus in de inspanningen en biedt het kantoor ook één aanspreekpunt voor de buitenwereld waar ze terecht kunnen bij vragen of uitdagingen.

Alleen organisaties die op grote schaal persoonsgegevens verwerken, zijn verplicht om een formele Data Privacy Officer (DPO) aan te stellen. De GDPR stelt expliciete eisen aan de functionaris voor gegevensbescherming om zijn onafhankelijkheid te waarborgen.

2. Zorg voor een privacybeleid dat is afgestemd op uw bedrijf

De tweede must-do op onze GDPR-nalevingscontrolelijst is om een ​​passend privacybeleid te hebben. Zonder dit bent u absoluut niet GDPR-compliant.

Een van de kernvereisten van de GDPR is de verplichting om betrokkenen te informeren over het datagebruik van het bedrijf en de bijbehorende privacypositie en -afspraken. Alleen wanneer degenen die contact hebben met uw bedrijf naar behoren zijn geïnformeerd, kunnen ze een weloverwogen beslissing nemen of ze wel of niet zaken willen doen met uw bedrijf. Het kopiëren en plakken van een privacyverklaring van internet kan waarschijnlijk meer kwaad dan goed doen. GDPR vereist dat uw communicatie specifiek is voor de manier waarop het bedrijf werkt. Boilerplate of catch-all statements, vaag of te complex juridisch jargon wordt expliciet als niet-conform genoemd in de GDPR-verordening.

Kortom, geef privacy de aandacht die het verdient en doe het goed. Zorg ervoor dat uw privacybeleid minimaal de onderstaande items dekt:

  1. Duidelijke verklaring van verantwoordelijkheden: wie is de gegevensbeheerder, wie is de gegevensverwerker en wie is uw belangrijkste contactpersoon voor de GDPR
  2. Maak een lijst van de processen die betrekking hebben op persoonsgegevens, bijvoorbeeld klantintake, facturatie, personeelsvergoeding, nieuwsbrief etc.
  3. Zorg ervoor dat u voor elk van de processen het zakelijke doel, de rechtsgrondslag van de GDPR en de gebruikte gegevensitems vastlegt. Geef ook aan hoe lang u de gegevens bewaart.
  4. Maak een lijst van de processen die persoonlijke gegevens delen en met wie u gegevens deelt met bijv. gegevens die u deelt met uw accountant, IT-ondersteuningspartner enz. of via het gebruik van cloudplatforms, bijv. Facebook, Mailchimp, Stripe enz.
  5. Zorg ervoor dat uw privacybeleid en de processen daarbinnen uw online / digitale interacties omvatten, bijv. offerteaanvraagformulier en uw interacties in de winkel / kantoor, bijv. klantenkaart in de winkel.
  6. Als uw bedrijf sociale media gebruikt, moet u gebruikers waarschuwen dat sociale-mediaplatforms hun persoonlijke gegevens verwerken en moet u vermelden dat uw bedrijf en het platform waarschijnlijk als gezamenlijke gegevensbeheerder worden beschouwd.
  7. Maak een lijst van de GDPR-gegevensrechten die uw gebruikers hebben en hoe ze deze kunnen uitoefenen
  8. Geef aan hoe gebruikers contact met u kunnen opnemen en indien nodig een klacht kunnen indienen bij de relevante autoriteit. Houd er rekening mee dat de toezichthouder u aanbeveelt om een ​​speciaal communicatiekanaal op te zetten voor alle privacygerelateerde zaken. Dus vermijd het hergebruik van info@mijnbedrijf.com en stel een speciale privacy@mijnbedrijf.com mailbox in.

Publiceer ten slotte uw privacybeleid als een link op het hoogste niveau op uw website, bijvoorbeeld in de voettekst van uw website. Zorg ervoor dat de link zichtbaar is vanaf alle pagina’s. Verberg uw privacybeleid niet in een document met algemene voorwaarden, aangezien de GDPR vereist dat het direct en prominent zichtbaar is.

Als dit allemaal een beetje te veel klinkt, weet dan dat GDPRWise het voor u heel snel en gemakkelijk heeft gemaakt om een ​​passend privacybeleid te krijgen. GDPRWise heeft het harde werk voor u gedaan door zeer specifiek ingevulde dossiers te maken op maat van uw branche. We hebben 80% van het werk gedaan, je hoeft alleen maar te valideren en te verfijnen.

3. Raadpleeg uw privacybeleid in al uw communicatie

De derde must-do op onze GDPR-nalevingscontrolelijst is om gebruik te maken van het werk dat u hebt geïnvesteerd in het opstellen van uw privacybeleid door dit in al uw communicatie goed te doen.

Alleen het publiceren van een goed privacybeleid op uw website is niet goed genoeg. U moet in elke communicatie ook duidelijk uw privacybeleid vermelden. Voor digitale communicatie moet u een voettekst toevoegen aan uw e-mails en marketing- / nieuwsbriefcommunicatie. Verwijs naar uw privacybeleid in uw offertes, advertenties, social media-pagina’s, algemene voorwaarden en andere contracten. Zorg er in het geval van een arbeidsovereenkomst voor dat je een specifiek privacybeleid voor het personeel hebt en voeg dit toe als addendum (zie ook hieronder).

Bedrijven hebben een boete gekregen voor het louter verwijzen naar hun website en niet expliciet verwijzen naar hun privacybeleid. Als u twijfelt over het maken van een voettekst, vraag het dan aan uw IT-ondersteuningspartner.

4. Als u cookies instelt, gebruik dan een cookie-pop-up

Dit vierde item is waar veel mensen GDPR mee associëren, de gevreesde cookie-pop-ups!

Cookies slaan doorgaans informatie op die aan u als individu kan worden toegeschreven, met andere woorden, ze verwerken uw persoonlijke gegevens. GDPR vereist dat alle bedrijven transparantie bieden over waarom en hoe persoonlijke gegevens worden gebruikt, en als gevolg daarvan, voordat bedrijven een cookie kunnen opslaan, moeten ze uw toestemming vragen. Deze cookies kunnen vervelend aanvoelen, maar geven ons allemaal de mogelijkheid om te bepalen wat we wel en niet toestaan. We willen bijvoorbeeld niet toestaan ​​dat we via internet worden gevolgd.

Als eigenaar van een website moet u zich afvragen of u niet zonder cookies kunt. Gebruik cookies niet alleen omdat uw website met die cookies is geleverd, of omdat de meeste andere websites cookies lijken te gebruiken om bezoekers te volgen. Onze eigen website, GDPRWise.eu heeft geen cookies. Privacy is een serieuze zaak (en een mensenrecht, let wel ..) dus neem er een goed geïnformeerde en bewuste beslissing over. Onze kennisbank kan hierbij helpen.

Als u cookies heeft, moet u uw bezoekers hiervan op de hoogte stellen VOORDAT u cookies instelt / opslaat. De bezoeker moet in duidelijke taal worden geïnformeerd en u moet ervoor zorgen dat er ondubbelzinnige toestemming wordt verkregen voordat u verder gaat. Er zijn tal van tools beschikbaar om u een cookiebanner of pop-up te geven, maar zorg ervoor dat u uw website test dat: (1) GEEN cookies worden geplaatst voordat de gebruiker is geïnformeerd en zijn of haar keuzes kan communiceren; en (2) alleen die cookies worden geplaatst waarmee de gebruiker heeft ingestemd. Als onderdeel van uw plicht om de bezoeker te informeren, is het raadzaam om een ​​cookiebeleidsdocument te hebben waarin staat welke cookies worden gebruikt en hoe dit gebruikers beïnvloedt. Bovendien moet u de gebruiker informeren hoe hij of zij de gegeven toestemming kan intrekken en eventueel ingestelde cookies kan verwijderen.

5. Direct marketing moet de bron vermelden en een opt-out bieden

Dit vijfde item op onze GDPR-nalevingscontrolelijst lijkt vrij eenvoudig, maar vereist discipline om het goed te krijgen.

De eerste vereiste hier is om de bron van de persoonlijke informatie aan de ontvanger bekend te maken. Ofwel zijn de persoonsgegevens van de ontvanger rechtstreeks van de ontvanger verkregen, ofwel indirect uit een andere bron. De kern van de GDPR-verordening is uw plicht om te informeren en transparantie te bieden over de verwerking van persoonlijke gegevens, dus de bron van alle persoonlijke gegevens moet worden vastgelegd. Dit vereist dat u over de juiste processen en discipline beschikt om te allen tijde de oorsprong van persoonlijke informatie vast te leggen.

Tegelijkertijd moeten directmarketing-e-mails ontvangers een manier bieden om zich af te melden voor dergelijke toekomstige communicatie om te voldoen aan de GDPR-vereisten. Dit wordt meestal bereikt door een afmeldlink of -knop toe te voegen aan de onderkant van de e-mail, zodat de ontvanger zich kan afmelden van uw mailinglijst. De meeste marketingplatforms (bijv.Mailchimp) bieden standaard de opt-out-functionaliteit, dus het zou voor u heel gemakkelijk moeten zijn om aan deze vereiste te voldoen. Het moeilijkere is om ervoor te zorgen dat die personen in de toekomst dit soort communicatie niet meer zullen ontvangen. Dit vereist dat u over de juiste processen en discipline beschikt. Houd er rekening mee dat gebruikers die zich hebben afgemeld en vervolgens nog steeds soortgelijke marketingcommunicatie ontvangen, heel goed een klacht kunnen indienen bij de toezichthouder. De toezichthouder heeft al boetes opgelegd voor het niet voldoen aan deze GDPR-vereiste!

Houd er rekening mee dat als u een marketingplatform gebruikt, u in feite bepaalde persoonlijke informatie (bijv.persoonlijk e-mailadres, namen enz.) Van uw marketingpubliek deelt met het marketingplatform. Voeg dus het marketingplatform toe als derde partij in het gedeelte van uw privacybeleid dat het delen van persoonlijke gegevens beschrijft.

Direct marketing is een bron van ergernis bij veel consumenten en de meeste nationale regelgevende instanties hebben grote inspanningen geleverd om hun publiek beter te informeren en voor te lichten door richtlijnen te publiceren. Kijk dus op uw website van de nationale autoriteit voor gegevensbescherming voor richtlijnen. Als voorbeeld vind je hier de richtlijn voor België .

6. Houd een GDPR-register bij

Dit zesde item op onze GDPR-nalevingscontrolelijst is er een waar de toezichthouder om zal vragen als ze bij u aankloppen.

De GDPR vereist dat alle bedrijven een register bijhouden van de verwerkingsactiviteiten, ook wel GDPR-register genoemd. Uw GDPR-register moet een lijst bevatten van alle verwerkingen die uw bedrijf onderneemt met betrekking tot persoonlijke gegevens. De persoonsgegevens kunnen die van uw klanten, personeel, leveranciers, partners etc. zijn en moeten allemaal in het register worden opgenomen. U dient afzonderlijke registers bij te houden voor die activiteiten waarbij u de gegevensbeheerder bent en die waar u een gegevensverwerker bent.

Controleer uw website van de nationale autoriteit voor gegevensbescherming voor richtlijnen over het formaat van het register en de informatie die moet worden opgenomen.

U kunt ook lid worden van GDPRWise , aangezien u uw GDPR-register met een enkele klik kunt genereren nadat u het ingevulde dossier hebt gevalideerd dat we maken op basis van uw branche en land van registratie.

7. Zorg voor een privacybeleid voor het personeel

Dit zevende item wordt vaak over het hoofd gezien, maar aangezien GDPR-gerelateerde uitdagingen vaak voortkomen uit verbroken personeelsrelaties, moet het goed op uw radar staan ​​om het goed te krijgen.

De GDPR-vereisten en de bijbehorende regelset hebben betrekking op de verwerking van persoonsgegevens voor alle betrokkenen, niet alleen voor uw klanten. Elk bedrijf dat wel personeel op de loonlijst heeft staan ​​of indirect via het inhuren van onafhankelijke personeelsleden, zal persoonsgegevens bewaren om die personen aan boord te krijgen, te compenseren, te evalueren, op te leiden, te verzekeren enz. De persoonsgegevens die worden verwerkt, verschillen doorgaans sterk van wat er over uw klanten wordt verwerkt. Daarom is het zinvol om een ​​speciaal privacybeleid voor het personeel te hebben om te voldoen aan de GDPR-vereiste om uw personeel te informeren over de gegevens die u verwerkt en de bijbehorende privacy- en beveiligingsregelingen.

Net als bij het privacybeleid van uw klant kan GDPRWise dit een snel en eenvoudig proces maken, aangezien we al het harde werk voor u hebben gedaan en een specifieke branche hebben gecreëerd profielen die u al de meeste antwoorden geven.

8. Gebruikt u speciale categoriegegevens?

Het achtste item op onze GDPR-nalevingscontrolelijst maakt heel duidelijk dat niet alle gegevenselementen gelijk zijn onder GDPR.

Sommige gegevens zijn bijzonder gevoelig en vereisen daarom aanvullende waarborgen om de bescherming ervan te verzekeren. Deze speciale categoriegegevens hebben betrekking op items die:

  • raciale of etnische afkomst onthullen
  • politieke meningen onthullen
  • religieuze of filosofische overtuigingen onthullen
  • het lidmaatschap van een vakbond onthullen
  • zijn genetische gegevens
  • zijn biometrische gegevens
  • betreft de gezondheid van een persoon
  • betreft iemands seksuele geaardheid of activiteit

Omdat deze gegevenselementen bijzonder gevoelig zijn, moet een bedrijf een legitieme en wettige reden hebben om deze gegevens te verzamelen, op te slaan, te verzenden of te verwerken. Het is bedrijven verboden deze gegevens te verzamelen of te verwerken, tenzij:

  • Er is expliciete toestemming verkregen van de betrokkene; of,
  • Verwerking is noodzakelijk om verplichtingen na te komen en specifieke rechten van de gegevensbeheerder uit te oefenen om redenen die verband houden met werkgelegenheid, sociale zekerheid en sociale bescherming; of,
  • Verwerking is noodzakelijk om de vitale belangen van betrokkenen te beschermen wanneer individuen fysiek of juridisch niet in staat zijn om toestemming te geven; of,
  • Verwerking is noodzakelijk voor het instellen, uitoefenen of verdedigen van juridische claims, om redenen van aanzienlijk openbaar belang of redenen van algemeen belang op het gebied van volksgezondheid; of,
  • Voor preventieve of arbeidsgeneeskundige doeleinden; of,
  • Verwerking is noodzakelijk voor archiveringsdoeleinden in het algemeen belang, wetenschappelijk, historisch onderzoek of statistische doeleinden; of,
  • De verwerking heeft betrekking op persoonlijke gegevens die duidelijk openbaar zijn gemaakt door de betrokkene; of,
  • De verwerking wordt uitgevoerd in het kader van haar legitieme activiteiten met passende waarborgen door een stichting, vereniging of enig ander non-profit orgaan met een politiek, filosofisch, religieus of vakbondsdoel en op voorwaarde dat de verwerking uitsluitend betrekking heeft aan de leden of voormalige leden van de instantie of aan personen die er regelmatig contact mee hebben in verband met haar doeleinden en dat de persoonsgegevens niet buiten die instantie worden bekendgemaakt zonder de toestemming van de betrokkenen.

Persoonsgegevens die betrekking hebben op strafbare feiten en veroordelingen worden niet opgenomen, maar er zijn aparte verwerkingswaarborgen. In artikel 10 van de GDPR vindt u hierover meer informatie.

9. Bekijk de beveiligingspraktijken

Punt negen op onze GDPR-nalevingscontrolelijst is gezien hun voetafdruk een echte hoofdpijn voor de meeste grote bedrijven, maar voor de kleine en middelgrote bedrijven zou dit zeer goed te doen moeten zijn.

Geen privacy zonder passende beveiligingsmaatregelen. We zijn er bijvoorbeeld zeker van dat u het ermee eens bent dat u de privacy van de persoonlijke gegevens van uw klanten niet kunt garanderen als hun gegevens zouden worden opgeslagen in een online bestand dat toegankelijk is zonder gebruikersnaam of wachtwoord. Met andere woorden: privacy en veiligheid gaan hand in hand.

Belangrijk om op te merken is dat beveiliging niet één ding is, maar een verzameling benaderingen, praktijken en maatregelen die zo sterk zijn als hun zwakste schakel. We hebben een kennisbankitem gemaakt Gegevensbeveiliging – wat u moet overwegen voor uw voordeel. De bijbehorende kennisbankitems bevatten ook praktische tips, zoals een lijst met vragen die u aan uw IT-ondersteuningspartner kunt stellen.

Als u op de hoogte bent van de basisprincipes van gegevensbeveiliging, wordt u en uw IT-ondersteuningspartner geadviseerd om gebruik te maken van uw GDPR-register en de lijst met gebruikte systemen te doorlopen. U wilt minimaal de onderstaande aspecten bekijken:

  • Is de fysieke beveiliging gepast?

    • Bevindt het systeem zich op een fysieke locatie die voldoende veilig en beveiligd is? Voor alle systemen die wereldberoemde cloudsystemen zijn (bijv.Microsoft.com, Shopify.com) is het antwoord meestal Ja en wordt bewezen door de beveiligingscertificeringen die ze hebben verkregen en gepubliceerd. Voor alle systemen die uw bedrijf host, wilt u ervoor zorgen dat u maatregelen heeft getroffen om ervoor te zorgen dat alleen de juiste mensen toegang hebben tot het pand, het kantoor, de winkel, de serverruimte, de archiefkast enz. Voor de onvermijdelijke papieren documenten die de meeste bedrijven nog hebben, hebben we heeft een speciaal kennisbankitem gemaakt.

  • Is de systeem- en softwarebeveiliging passend?

    • Bekijk ons ​​ speciale kennisitem over het onderwerp. Er zijn een aantal aspecten die u moet bekijken en maatregelen die u kunt toepassen. Enkele voorbeelden: zijn op alle systemen de laatste beveiligingspatches aangebracht? Worden bij alle systemen de juiste toegangscontrole afgedwongen? Waar mogelijk is tweefactorauthenticatie ingeschakeld? Dwingt het systeem sterke wachtwoorden af? Kunnen we gegevensitems die we niet gebruiken verwijderen of verbergen in overeenstemming met het GDPR-dataminimalisatieprincipe?

  • Is gegevensbeveiliging gepast?

    • Voor het MKB zijn er twee kernaspecten die hier moeten worden gecontroleerd: back-ups en gegevenscodering. Bevestig dat er een back-up van de systemen is gemaakt en dat die back-ups zich op een veilige plaats bevinden. Tegelijkertijd wilt u van tijd tot tijd testen of een herstelbewerking met succes kan worden uitgevoerd. Bevestig aan de kant van de gegevensversleuteling dat alle persoonlijke gegevens zowel in rust als tijdens verzending zijn versleuteld. Bekijk ons ​​ speciale kennisbankitem over gegevensbeveiliging.

  • Worden alle maatregelen regelmatig herzien?

    • Uw beveiligingsmaatregelen moeten regelmatig worden herzien en bijgewerkt. Dit geldt niet alleen voor uw apparatuur en infrastructuur, maar ook voor de mensen die deze bedienen en gebruiken. We willen benadrukken hoe belangrijk het is om de menselijke factor niet over het hoofd te zien zoals deze is bewezen keer op keer om de zwakste schakel te zijn in een beveiliging en privacybescherming. U moet ervoor zorgen dat de juiste beveiligings- en privacygewoonten worden overwogen en toegepast in de dagelijkse praktijk van uw bedrijf. Er zijn veel online leerplatforms die Security Awareness Training en Data Privacy Training aanbieden tegen zeer betaalbare prijzen. Ervoor zorgen dat alle nieuwe leden en al het personeel deze trainingen minstens één keer per jaar doorlopen, is essentieel voor een veilige en privacyconforme operatie. Het wordt aanbevolen dat u een gedragscode implementeert die zowel beveiliging en privacy als andere ethische bedrijfspraktijken omvat.

10. Operationaliseer GDPR-rechten

Deze tiende controle op onze GDPR-nalevingscontrolelijst zou vrij eenvoudig te implementeren moeten zijn.

De GDPR-verordening bepaalt dat betrokkenen nu rechten hebben die ze kunnen uitoefenen met betrekking tot de verwerking van hun persoonsgegevens. De bekendste zijn waarschijnlijk het recht op toegang en het recht om te worden vergeten. Er zijn in feite 9 van die rechten en ze worden beschreven in onze kennis basisartikel gewijd aan het onderwerp gegevensrechten .

Naast de vereiste om de datarechten in uw privacybeleid op te nemen, moet uw kantoor deze natuurlijk ook operationaliseren. Met andere woorden, wanneer een klant zou vragen om te worden vergeten en zijn of haar gegevens te laten verwijderen, dat u over de processen en mogelijkheden beschikt om de gegevens te verwijderen (of anonimiseren). In geval van twijfel, of wanneer men dit aspect liever wil uitbesteden, bieden veel bedrijven deze aan Privacy Coördinator gerelateerde diensten aan tegen doorgaans betaalbare tarieven.

11. Privacybewustzijnstraining voor al het personeel dat met persoonlijke gegevens omgaat

Op het gebied van data en technologie wordt de menselijke factor vaak over het hoofd gezien. Vergis je er niet in, deze elfde check in onze GDPR-compliancechecklist is net zo belangrijk als elk ander item, zo niet belangrijker.

De mens heeft keer op keer bewezen de zwakste schakel te zijn in de beveiliging en privacybescherming. U kunt overal de beste beveiligingsmaatregelen implementeren, maar als een collega op een link in een kwaadaardige (phishing) e-mail klikt en onbewust naar een nepwebsite wordt geleid waar zijn of haar bedrijfslogin en wachtwoord worden gestolen, lopen uw beveiligingsmaatregelen gevaar. Evenzo is het door een menselijke fout dat een collega al uw klanten in CC plaatst in plaats van in BCC of een collega die per ongeluk een medisch dossier naar de verkeerde patiënt stuurt.

U moet ervoor zorgen dat de juiste beveiligings- en privacygewoonten worden overwogen en toegepast in de dagelijkse praktijk van uw bedrijf. Het wordt aanbevolen dat u een gedragscode implementeert die zowel beveiliging en privacy als andere ethische bedrijfspraktijken omvat. In de meeste bedrijven zijn er onveilige praktijken die gemakkelijk kunnen worden aangepakt door middel van bewustmaking. We hebben een speciaal kennisbankitem over dit onderwerp gemaakt.

12. Melding van inbreuken

De toezichthouder hecht veel waarde aan dit twaalfde item op onze GDPR-nalevingscontrolelijst en het heeft geresulteerd in een behoorlijk aantal boetes waarbij bedrijven niet in overeenstemming bleken te zijn.

Houd er allereerst rekening mee dat een inbreuk niet beperkt is tot een hacker die inbreuk maakt op uw netwerk. Een inbreuk op de beveiliging is elk incident dat leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens, of deze nu zijn opgeslagen, verzonden of anderszins verwerkt. Dus een collega die een financieel rapport naar de verkeerde klant stuurt, is ook een inbreuk, net als een collega die een USB-stick verliest waarop persoonlijke gegevens staan ​​of iemand die per ongeluk persoonlijke gegevens verwijdert.

Alle inbreuken moeten intern worden geregistreerd in een dataleklogboek dat door uw bedrijf moet worden bijgehouden. Sommige inbreuken moeten worden gemeld aan de toezichthouder en mogelijk zelfs aan de personen die door de inbreuk worden getroffen. Zie ons kennisbankitem gewijd aan het onderwerp datalek .

13. Internationale overwegingen

Dit dertiende item op onze GDPR-nalevingscontrolelijst is relevant voor twee soorten bedrijven: bedrijven die buiten de EU zijn gevestigd maar de EU-markt bedienen en bedrijven met activiteiten in meer dan één EU-lidstaat. Degenen met touchpoints voor Brexit willen misschien ook opletten.

Artikel 27 van de GDPR-verordening vereist dat elk bedrijf dat buiten de EU is gevestigd maar de EU-markt bedient, een in de EU gevestigde vertegenwoordiger heeft. Met andere woorden, die bedrijven hebben een EU-gebaseerde Data Rep nodig. De meest kosteneffectieve manier voor MKB-bedrijven is waarschijnlijk om een ​​Data Rep-service aan te schaffen van een aantal commerciële aanbiedingen op de markt of om een ​​in de EU gevestigd advocatenkantoor te benaderen om dit te vervullen rol.

Voor die bedrijven met gegevensverwerkingsactiviteiten in meer dan één EU-lidstaat, stelt de GDPR-verordening dat de nationale autoriteit die de leiding zal nemen in eventuele GDPR-aangelegenheden wordt bepaald op basis van waar uw bedrijf zijn hoofdbestuur heeft of waar beslissingen over gegevensverwerking worden genomen. gemaakt.

Op het moment van schrijven is de Brexit nog maar een maand in en in het terugtrekkingsakkoord is een aflossingsvrije periode van maximaal 6 maanden vastgelegd waarin niets verandert. Als en wanneer er een update is, wordt deze controle bijgewerkt.

Disclaimer
De informatie die hier wordt verstrekt, is geen juridisch advies en kan de juridische adviseur voor uw specifieke behoeften niet vervangen. Sommige vermelde informatie is mogelijk niet op u van toepassing of is heel anders van toepassing. Raadpleeg uw juridisch adviseur om ervoor te zorgen dat u aan uw wettelijke verplichtingen voldoet.