GDPR de nieuwe privacywetgeving vanaf 25 mei 2018: Wat moet je weten over General Data Protection Regulation ?

General Data Protection Regulation.png

Wat is GDPR?

De General Data Protection Regulation (GDPR) is al een tijdje geleden goedgekeurd door de Europese Unie, maar is officieel geldig vanaf 25 mei 2018. Het is één van de belangrijkste veranderingen in de regulering rond privacy van de voorbije 20 jaar. Het heeft dus een impact op heel wat bedrijven en organisaties. Misschien moet ook jouw bedrijf haar databeleid aanpassen. We nemen GDPR even onder de loep.

Het gaat om het beschermen van de rechten van Europese burgers wiens persoonsgegevens worden verwerkt. De burger staat centraal en van bedrijven wordt meer verantwoordelijkheid en transparantie verwacht. In tegenstelling tot de vorige wetgeving is de GDPR geen richtlijn maar bindende regulering. De regulering geldt voor alle bedrijven die data verwerken van burgers van de EU, ook al bevindt het bedrijf zich niet binnen een EU-lidstaat of wordt de data buiten de EU opgeslagen. Bij vorige wetgeving was dit minder duidelijk gedefinieerd, nu is er geen verwarring meer mogelijk. Ook clouds kunnen verantwoordelijk worden gesteld.

Wat betekent dit concreet?

De burger is in dit geval iedere inwoner van een lidstaat van de EU. Deze moet in begrijpelijke taal ingelicht worden over welke gegevens verzameld worden en voor welke doeleinden. En moet ook op de hoogte zijn van hoe lang die gegevens bewaard zullen worden. Een individu heeft recht op inzicht in alle data die van hem of haar verzameld wordt. Burgers moeten in staat zijn om deze gegevens te wijzigen of te verwijderen, of dit te laten doen. Een individu heeft het recht om ‘vergeten te worden’ (indien dit niet ingaat tegen het publieke belang van recht op informatie). Deze persoon moet de mogelijkheid krijgen om opgeslagen data veilig over te dragen van de ene partij naar de andere.

Ook de wetgeving rond toestemming is strenger geworden. Data moet steeds met toestemming verkregen worden en enkel gebruikt worden voor datgene waarvoor toestemming gegeven is. Voor het verzamelen en opslaan van gegevens waarvan het niet evident is dat het bedrijf ze nodig heeft voor hun dienstverlening, bv. gevoelige informatie is expliciete toestemming nodig. Hier moet op zijn minst gebruik gemaakt worden van het opt-in systeem.  Een persoon moet zijn of haar toestemming even makkelijk weer kunnen intrekken als dat het kan gegeven worden. Voor de data van burgers jonger dan 16 jaar is ouderlijke toestemming nodig. Lidstaten kunnen dit verlagen maar 13 jaar is de minimumleeftijd.

Wat betekent dit voor bedrijven en dataverwerkers?

Om te voldoen aan deze rechten van de burger moeten er bij heel wat bedrijven en organisaties, zowel de eigenaars als verwerkers van persoonsgegevens, enkele aanpassingen gebeuren in de dataprocedure. In de nieuwe wetgeving krijgen eigenaars en verwerkers van data meer verantwoordelijkheid toegeschreven. Zo is een ondernemer hoofdelijk aansprakelijk voor zijn veiligheidsbeleid.

Wanneer je als bedrijf om toestemming zal vragen, zal je dat volgens de nieuwe wetgeving in duidelijke en eenvoudige taal moeten doen. Gedaan met lange onleesbare voorwaarden in juridische taal dus. Belangrijk is dat je steeds vermeldt voor welk doel en welke duur je de data wil gebruiken en dat hier geen verwarring over kan zijn. En dat je je daaraan houdt natuurlijk, anders moet je opnieuw toestemming vragen.

Vraag ook nooit meer gegevens dan strikt noodzakelijk om het doel te bereiken. Enkel de personen die nodig zijn bij het dataverwerkingsproces mogen toegang krijgen tot de data. Onnauwkeurige of onvolledige informatie moet gewijzigd of verwijderd worden.

Geef iedereen de mogelijkheid om de toestemming terug in te trekken op een eenvoudige manier. Een persoon moet de data die je van hem/haar verzamelt ook kunnen inkijken. Ook wanneer het om impliciete toestemming gaat, heeft de gebruiker het recht om van jouw bevestiging te krijgen dat er persoonlijke gegevens verwerkt worden, wat er mee gebeurt en voor welk doel. Dit staat allemaal in het teken van meer transparantie en meer bevoegdheden voor de gebruiker.

Bepaalde bedrijven maken gebruik van profiling, waarbij ze aan de hand van data van hun klanten producten, diensten en gepersonaliseerde informatie aanbieden. Dit kan bijvoorbeeld het geval zijn voor banken en verzekeraars, maar ook webshops. Vanaf de nieuwe regulering is het gedaan met geruisloos en geautomatiseerd informatie op te slaan. Je mag data van klanten pas gebruiken voor profiling als ze expliciet toestemming hebben gegeven daarvoor. Nu gebeuren er heel wat activiteiten in onwetendheid van de gebruiker. Hier zal een fundamentele shift in moeten gebeuren.

Er wordt van jou als bedrijf verwacht dat je degelijke organisatorische en technische maatregelen treft om de data veilig te verwerken. Naast de bovenvermelde voorwaarden om tegemoet te komen aan de rechten van de burger, moet je ook een IT-systeem met een hoog beveiligingsniveau onderhouden. Verhoogde security maatregelen tegen hackers en datalekken moeten genomen worden. Een datalek met risico's voor individuen moet gemeld worden binnen 72 uur. Alle partijen in kwestie moeten zonder vertraging ingelicht worden.

Eén van de kernideeën achter de GDPR is 'Privacy by Design'. Dit houdt in dat databescherming al deel moet uitmaken van het designproces van systemen vanaf het prille begin. Nu is dit vaak iets dat later in het proces wordt toegevoegd. De EU wil dus dat gepaste privacymaatregelen op een effectieve manier geïmplementeerd worden, zowel op organisatorisch als technologisch vlak. Er wordt verwacht van bedrijven dat ze zelf risico's i.v.m. de dataverwerking opsporen en inschatten. Grote organisaties zullen een Data Protection Officer (DPO) moeten aanstellen.

Een voorbeeld van een technische maatregel is het gebruik van SSL of Secure Socket Layer. Dit moet de bezoeker van een site garanderen dat er niemand kan meelezen en dat ze met de juiste website aan het praten zijn. Je kan de beveiliging herkennen aan de url https:// en het groene slotje dat naast de url staat. Misschien hoorde je onlangs in het nieuws over de vele gemeentes die hier niet mee in orde zijn, waardoor er heel wat persoonsgegevens kwetsbaar zijn voor cybercriminelen. 

Is jouw bedrijf klaar voor 25 mei?

Is jouw bedrijf al met al deze zaken in orde? Documenteer je procedure van dataverzameling gedetailleerd zodat je kan aantonen dat alles correct gebeurd. Nog niet in orde? Ook dan is het interessant om het huidige proces eens volledig in kaart te brengen, zodat je kan leren waar de pijnpunten zitten. Je moet je voor elk onderdeel in de procedure kunnen verantwoorden. Welke informatie heb je van al je klanten en waar bevindt zich die informatie? Wat gebeurt er met de data en heb je daar wel toestemming voor? Ook het gebruik van gegevens die je op andere platformen deelt, of die je zelf van andere kanalen haalt, moet je kunnen verantwoorden. Je dataprocedure in kaart brengen zal je misschien heel wat tijd kosten, maar kan je wel een grote som geld besparen. De boetes voor inbreuken op de nieuwe regulering zijn niet mals (tot 4% van de jaaromzet of maximum 20 miljoen euro!). Meer en strengere controles zullen plaatsvinden en dan moet jij kunnen bewijzen dat je volledig in orde bent.

Het is niet enkel belangrijk om je dataverwerkingsproces veilig en transparant te maken om in orde te zijn met de nieuwe wetgeving. Het is ook interessant om je databeleid te optimaliseren om klanten te laten zien dat je betrouwbaar bent en je zo te onderscheiden van concurrenten. Een duidelijke profielpagina waar klanten kunnen zien welke informatie over hen verzameld wordt, kan bijvoorbeeld zorgen voor een positieve gebruikerservaring. Wanneer je data van gebruikers vraagt, laat dan duidelijk merken welk voordeel zij eruit halen.

Conclusie

De EU zet de burger centraal in de nieuwe wetgeving. Als bedrijf zorg je ervoor dat gedurende het hele dataverzamelingsproces de privacy van de burger beschermd wordt. De verwerking van data moet transparant en rechtmatig gebeuren, enkel voor de doeleinden en de duur waarvoor toestemming is gegeven. Indien dit nu nog niet in orde is wordt er verwacht dat je hiervoor organisatorische en technische maatregelen neemt. Er wordt heel wat verantwoordelijkheid gelegd bij de bedrijven dus zorg dat je tegen 25 mei 2018 kan aantonen dat jouw bedrijf in orde is met de nieuwe regulering. Succes!


Heb je een eigen zaak of help je mee met de marketing van jouw organisatie?  Door te investeren in kennis ben je al op de goeie weg om de kracht van sociale media te gebruiken en de naamsbekendheid van je bedrijf te verhogen. Neem contact op als wij jou kunnen verder helpen