We horen en lezen de laatste tijd veel rond de ‘General Data Protection Regulation’ of kortweg ‘GDPR’. Maar wat is dat nu precies en wat is de impact op je bedrijf? Wij zochten het voor je uit!
We kunnen het niet ontkennen; we leven in een digitale wereld met een overvloed aan data. Juist daarom is de Europese wetgeving - de 'Algemene Verordening Gegevensbescherming' (AVG) of ‘General Data Protection Regulation’ (GDPR) - ontworpen. Het is een geheel van regels om de persoonsgegevens van Europese burgers beter te beschermen. Deze wetgeving gaat in alle Europese lidstaten van kracht op 25 mei 2018. Of je nu werkt op de HR-, marketing- … of IT-afdeling, de kans is dus groot dat je met persoonsgebonden gegevens te maken krijgt. Deze nieuwe wetgeving zal een invloed hebben op je dagelijkse job en op je attitude hoe jij met dit soort van informatie zal omgaan.
When we share our personal data with business, its use should be transparent and secure.
Het is van groot belang om als bedrijf de GDPR niet te overtreden, aangezien klachten kunnen leiden tot boetes die oplopen tot wel 20 miljoen euro of 4% van de totale wereldwijde jaaromzet van het voorafgaande boekjaar. Je bedrijf is dus beter goed voorbereid! Wij hebben alvast enkele tips.
#01 Persoonsgegevens verzamelen
Vooraleer je bedrijf persoonsgegevens verzamelt, moet je aan enkele rechten van de gebruiker voldoen. Eerst en vooral moet er toegang gevraagd worden aan de gebruiker om zijn/haar gegevens bij te houden. Ook moet de gebruiker de mogelijkheid hebben om zich te verzetten tegen het verwerken van zijn of haar gegevens voor doeleinden als business prospectie en de promotie van producten of diensten. Uiteraard moet de gebruiker ook zijn/haar gegevens kunnen verbeteren, verwijderen - the right to be forgotten - én zelfs kunnen vragen om de gegevensverwerking te beperken. Het bijhouden van een dataregister kan hierbij helpen. In dit register kan je in aantonen welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met welke partijen die gedeeld worden.
#02 Toestemming is cruciaal
Wanneer er toestemming gevraagd wordt om gegevens bij te houden, moet de gebruiker hiervoor - in tegenstelling tot de vroegere wetgeving - een actieve handeling stellen, bijvoorbeeld iets aanklikken. Bovendien moet je toestemming hebben van een ouder of opvoeder indien de gebruiker jonger is dan zestien jaar.
#03 Snelle reactie
De GDPR zorgt ervoor dat wanneer de gebruiker vragen heeft over zijn of haar gegevens, je als bedrijf sneller zal moeten reageren. Vroeger moesten dergelijke vragen binnen de 45 dagen verwerkt worden, terwijl het nu binnen de 30 dagen moet.
#04 Procedure voor datalekken
Het is belangrijk om een procedure binnen je bedrijf te ontwikkelen om datalekken zo snel als mogelijk te ontdekken, te onderzoeken en te rapporteren. Indien het gaat over belangrijke gegevens, zoals vaak het geval is bij e-commerce websites, dient de gebruiker zelf gewaarschuwd te worden.
#05 Is je bedrijf wel up-to-date?
Ga na of de privacy policy, algemene voorwaarden of andere documenten van je bedrijf nog up-to-date zijn. Zo moet je kunnen aantonen - op een zo duidelijk mogelijke manier - welke persoonsgegevens je bedrijf bijhoudt, waar deze verzameld worden, hoe lang ze worden bewaard etc. Maar ook dient een wettelijke grondslag (vereist door de GDPR) in de privacy policy van je bedrijf geïmplementeerd te worden.
#06 Data Protection by Design & Protection Impact Assessment
De GDPR bevat twee zeer belangrijke begrippen. Enerzijds ‘Data Protection by Design’, waarbij systemen, software of processen binnen je bedrijf rekening moeten houden met de bescherming van persoonsgegevens. Anderzijds is er nog ‘Protection Impact Assessment’ waarin risico’s van nieuwe systemen, software of processen die betrekking hebben tot persoonsgegevens, worden geanalyseerd.
#07 Diensten en oplossingen
Indien je bedrijf gebruikt maakt van (externe) diensten en oplossingen, dienen deze ook GDPR-compliant te zijn.
#08 Internationaal bedrijf?
De GDPR is een Europese wetgeving, dus indien je bedrijf internationaal aanwezig is, dient er rekening gehouden te worden met al dan niet strengere en/of andere regels van dat specifieke land. Wanneer de maatschappelijke zetel in Europa is gevestigd en daar ook de persoonsgegevens verwerkt, valt het bedrijf onder de Europese wetgeving.
If we don't act now to safeguard our privacy, we could all become victims of identity theft.
Om ervoor te zorgen dat de regels omtrent de databescherming goed worden nageleefd, stel je best een verantwoordelijke - de Data Protection Officer of DPO - aan. Én vergeet je collega’s zeker niet in te lichten inzake GDPR, zodat iedereen weet wat er nog moet gebeuren binnen het bedrijf om te voldoen aan de nieuwe wetgeving.
Het stappenplan van de Belgische Privacycommissie vormt de basis van dit blogartikel. Indien je het volledige stappenplan wenst te bekijken, kan je het hier downloaden.