Ga terug

In orde met de nieuwe GDPR?

De GDPR (of General Data Protection Regulation) of de AVG (Algemene Verordening Gegevensbescherming) is een nieuwe set regels die in het leven geroepen werd om de gegevens van elke Europese burger beter te beschermen.

Deze nieuwe wetgeving werd vorig jaar op het einde van het jaar goedgekeurd en bestaat uit twee delen: de regulation, dit deel is van toepassing op de bedrijfswereld, en de directive, voor overheidsdiensten zoals politie en justitie.

Beide delen treden in mei 2018 officieel in werking; er wordt een periode van twee jaar voorzien als overgangsperiode.

Waarom werd deze wetgeving dan gewijzigd?

Deze nieuwe wetgeving is niets meer dan een herziening van de oude wetgeving uit 1995 (de Data Protection Directive).

Diezelfde oude wetgeving werd door elke lidstaat anders geïnterpreteerd wat uiteindelijk leidde tot onduidelijkheid.

Daarnaast zijn er de dag van vandaag nood aan nieuwe regels omtrent nieuwe technologieën (denk maar aan de “cloud” en “social media”, die beiden enorme hoeveelheden data bijhouden).

Wat betekent de GDPR voor bedrijven?

Vanaf 25 mei 2018 zullen bedrijven die persoonsgegevens verzamelen, volledig moeten voldoen aan de nieuwe regels. Met persoonsgegevens wordt alle informatie bedoeld waarmee iemand geïndentificeerd kan worden.

Deze definitie mag je vrij letterlijk nemen en in de brede zin. Ook een IP-adres kan worden teruggekoppeld naar een persoon, net als een Twitter-handle en bijgevolg ook de tweets die daarbij horen. Zijn er dan echt geen uitzonderingen? Bijna geen!

Enkel als het gaat over “geanomiseere gegevens”. Wat bijvoorbeeld zoveel wil zeggen als een foto waarbij de afbeelde persoon onherkenbaar is gemaakt.

De voornaamste vernieuwingen in de GPDR draaien rond vier kernwoorden:


  1. Transparantie
    Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.

  2. Data-overdracht
    Burgers zullen hun gegevens kunnen overdragen (gegevens moeten makkelijk transfereerbaar zijn van de ene dienstverlener naar de andere. Dat wil niet zeggen dat de eerste dienstverlener zomaar de gegevens direct ook moet wissen.) van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen.

  3. Recht om vergeten te worden
    Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden- ook als de data inmiddels is gedeeld met derde partijen.

  4. Meldplicht bij datalekken
    Een bedrijf is verplicht om een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.


Wat gebeurd er als de GDPR niet wordt nageleefd?

Bedrijven die de nieuwe wetgeving niet naleven, kunnen zich verwachten en zware boetes. Een boete kan oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijden tot maar liefst 4 procent van de omzet, met een maxima van 20 miljoen euro.

Ok, hoe maak ik mijn bedrijf nu GDPR-proof?

Breng je bedrijf op de hoogte


Breng ieder personeelslid binnen jouw bedrijf of organisatie op de hoogte, op die manier is iedereen zich bewust van de aankomende nieuwe wetgeving.

Deze awareness is essentieel voor iedereen om de gevolgen van de GDPR in te schatten en noodzakelijke wijziging aan te brengen binnen het bedrijf of organisatie.

Aan de hand van een workshop kan je bijvoorbeeld iedereen op de hoogte brengen.

Leg een dataoverzicht aan


Als onderdeel van de documentatieplicht moet elk bedrijf een dataregister hebben. Als er ooit een datalek is, zal je dat register moeten kunnen voorleggen om aan te tonen dat je wel degelijk alle regels hebt gevolgd.

In een dergelijk dataregister hou een overzicht bij van de persoonsgegevens die je verwerkt en bepaal je ook waar ze vandaan komen en met wie ze gedeeld worden.

Zo’n register zou op elk moment een accuraat overzicht moeten geven.

Onderzoek


Persoonlijke data verwerken mag enkel als het noodzakelijk is voor de werking van jouw bedrijf, of als er een wettelijke verplichting bestaat of als je hiervoor de uitdrukkelijke toestemming hebt gekregen.

Je zal dus zelf kritisch moeten onderzoek waarom je data hebt en of je die wel echt nodig hebt voor de vlotte (lees: noodzakelijke) werking van jouw bedrijf.

Let op! Dit intern in kaart brengen is niet genoeg. Je moet het namelijk ook kenbaar maken, bijvoorbeeld in een privacyverklaring.

Zorg er daarom voor dat zaken als overeenkomsten, algemene voorwaarden, bestelbons en privacyverklaringen conform zijn aan deze nieuwe wetgeving.

Controleer de toestemming


De wijze waarop je toestemming vraagt om iemands persoonsgegevens te verwerken, moet volgens de GDPR vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.

Voorbeeld: Iemands locatiegegevens bijhouden wanneer hij of zij gebruikmaakt van de zaklamp van een smartphone, is geen vrije toestemming. Er is geen enkele reden waarom deze gegevens moeten bijgehouden worden op dat moment.

De toestemming moet ook blijken uit actief handelen. Een vooraf aangevinkt keuzevakje is niet actief handelen, bijgevolg mogen er dus ook geen gegevens bijgehouden worden.

Stel dat je uiteindelijk toch de toestemming hebt gekregen, is de registratie van deze gegevens acteraf ook van belang. Je moet achteraf kunnen bewijzen dat je, voor elk persoonlijk gegeven dat je verwerkt, op een correcte manier de toestemming hebt verkregen om het te verzamelen.

Voor de verwerking van persoonsgegevens van minderjarigen heb je een specifieke toestemming nodig van een ouder of voogd.

Communiceer over privacy


Privacy is vandaag de dag niet meer weg te denken uit de moderne samenleving, we zijn er allemaal ook heel gevoelig aan geworden. Deze nieuwe wetgeving zal alleen nog maar meer in de kijker plaatsen. Communiceer daarom ook heel duidelijk over je privacybeleid.

Zorg ervoor dat je communicatie over gegevensverwerking op punt staat. De nieuwe wetgeving vraagt immers dat je alle informatie hieromtrent in een beknopte, begrijpbare en duidelijke taal te kennen geeft aan personen.

Dit is het moment om je bestaande privacyverklaring een herziening te geven en aan te passen waar nodig.

Naast de identiteit van de verwerker van de gegevens en de wijze waarop je de gegevens aanwendt, zal je in de toekomst ook het volgende moeten meedelen:


  • Waarom mag je deze gegevens verwerken/ bijhouden? (zie stap hierboven omtrent ‘Onderzoek’)

  • Hoe lang ga je ze bijhouden?

  • Worden ze uitgewisseld buiten de Europese Unie?

  • Hoe kan iemand klacht indienen bij de Privacycommissie?


Een handige tip hierbij: Ga zeker ook na hoe lang je welke informatie mag bijhouden. Dat wisselt van land tot land.

Denk na bij elke nieuwe dienst of product


Deze nieuwe wetgeving vereist dat bij ontwikkeling van nieuwe diensten en/ -of producten wordt nagedacht over privacy verhogende maatregelen (PET). Dat kan bijvoorbeeld door persoonsgegevens te anonimiseren of door toegangsrechten tot persoonlijke data te limiteren.

De nieuwe wetgeving zegt namelijk dat geanonimiseerde data geen persoonlijke data is.
Hierdoor is de privacy dus niet van toepassing, wat handig is als je grote hoeveelheden data verwerkt.

Voor de implementatie van nieuwe risicovolle processen zal een ‘Privacy Impact Assessment’ moten worden uitgevoerd.

Voorzie een werkprocedure


De rechten die iemand heeft over zijn persoonsgegevens, blijven grotendeels gelijk. Maar als je tot op heden nog geen procedure had om dit proces in goede banen te leiden doe je er goed aan om dat nu wel te doen.

Het kan bijvoorbeeld gaan om:


  • Recht op informatie en toegang tot de persoonsgegevens.

  • Recht op aanpassing en recht om ‘vergeten te worden’.

  • Recht op bezwaar tegen direct marketingpraktijken, geautomatiseerde besluitvorming en profilering.

  • Recht op overdraagbaarheid van de gegevens (wat nieuw is). Ieder persoon moet zijn of haar gegevens in een gangbare vorm kunnen opvragen.


Goed nadenken over hoe je bedrijf zal volgen om aan dit soort vragen te voldoen (en ja, die komen er zeker) is dus een must.

Maak een fallback-mechanisme aan


De GDPR omschrijft zelf dat je op voorhand moet bepalen hoe je dergelijke rampen zal oplossen.

Een adequaat plan uitzoeken om bijvoorbeeld datalekken zo snel mogelijk op te sporen, te onderzoeken en waar nodig te melden aan bevoegde instanties is dus geen bijzaak.

In sommige gevallen verplicht het datalek uw bedrijf om de betrokkene in te lichten over het lek. (hiervoor hebt u dan een periode van 72 uur).

Doet u dit niet dan komt er een boete bovenop de boete voor het datalek zelf.