Hoe maakt u uw zaak GDPR-proof?

Mink blog : Hoe maakt u uw zaak GDPR-proof?

Hoe maakt u uw zaak GDPR-proof?

Global Data Protection Regulation

Vanaf mei 2018 wordt de GDPR - Global Data Protection Regulation1 - van kracht. Dat heeft heel wat gevolgen voor iedereen die gegevens verzamelt, opslaat, bewerkt, gebruikt en/of verkoopt.

Hoewel er al heel wat regelgevingen omtrent privacy en gegevensverwerking bestaan, is de GDPR van een andere orde. Voor het eerst hebben we te maken met een Europese verordening met een juridische grondslag. Dat wil zeggen dat het niet naleven van deze regulatie kan leiden tot zware boetes (tot maximaal 20 miljoen euro; of 4% van de globale omzet van het bedrijf in overtreding).

Panikeer nog niet! U heeft nog voldoende tijd om uw zaak GDPR-proof te maken. Mink helpt u graag op de goede weg. 

1 in het Nederlands: Algemene Verordening voor Gegevensbescherming (AVGB)

The GDPR - General Data Protection Regulation

De GDPR dient de privacy van natuurlijke personen te beschermen in dit digitale tijdperk. De nieuwe wetgeving is vooral voor B2C bedrijven belangrijk, maar ook voor B2B bedrijven verandert er heel wat.

Waarom is databescherming belangrijk?

We geven vaak heel makkelijk onze gegevens weg: wanneer we een whitepaper willen downloaden op het internet, een klantenkaart bij een winkel aanmaken, of een huishoudtoestel kopen. En dat zijn nog maar de gegevens die we bewust weggeven. Onbewust geven we ook veel weg. Denk maar aan beveiligingscamera’s in winkels die ook zien hoe een bezoeker zich door de winkel beweegt, of onze aankoopgeschiedenis bij (online) winkels. Zo kon een Amerikaans bedrijf, via een analyse van het koopgedrag, vaststellen welke bezoekers op dat moment zwanger waren en hen kortingsbonnen voor babyspullen toesturen. 

Gegevens worden almaar vaker in de ‘cloud’ bewaard en zonder goede bescherming zijn ze kwetsbaar. Gegevens online hebben ook niet de neiging om snel te verdwijnen of vergeten te worden. Omdat sommige gegevens privacygevoeliger zijn dan andere (bv. juridische of medische gegevens) is het dan ook uitermate belangrijk dat we die gegevens naar best vermogen beschermen om zo de betrokkene (de eigenaar van de gegevens) te vrijwaren. 

Waarom de GDPR?

Europese wetgeving

De GDPR geldt voor alle bedrijven in Europese landen en voor alle bedrijven buiten Europa die persoonlijke gegevens van Europeanen verwerken. Omdat almaar meer gegevens digitaal verwerkt worden zijn ze zonder wettelijk kader en (technische) bescherming (vb. encryptie) heel kwetsbaar in deze globale wereld. Een algemene, overkoepelende Europese wetgeving drong zich dan ook op.

Zoals gezegd is de GDPR een Europese verordening met een juridische grondslag. Waar vandaag de dag aparte wetten bestaan per land in Europa, zorgt de GDPR voor 1 overkoepelende Europese wet. Deze wet laat evenwel verdere uitwerking op nationaal vlak toe, daarom is ze ook niet sectorspecifiek en technologisch neutraal. 

Wat houdt de GDPR in?

De GDPR dient de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Dat betekent alle gegevens die een natuurlijke persoon kunnen identificeren.

In deze nieuwe wetgeving zullen dan ook 3 actoren aansprakelijk zijn. De betrokkene (de natuurlijke persoon die de gegevens verstrekt), de verwerkingsverantwoordelijke (degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt) en de verwerker (degene die de verwerking uitvoert voor de verantwoordelijke).

Verwerking” betekent alle handelingen die betrekking hebben op de gegevens: vastleggen, bewerken, opslaan, raadplegen, ordenen, structureren, verspreiden,...

Kernpunten

  1. De nieuwe wetgeving hanteert strengere uitvoeringsregels voor alle bedrijven binnen de EU en alle bedrijven buiten de EU die doelgericht goederen of diensten aanbieden aan EU burgers en/of hun gedrag monitoren.
     
  2. De rechten van de betrokkene worden ook versterkt met de GDPR. Oude rechten, zoals informatie over de gegevens van de betrokkene, correctie en verzet daartegen, blijven behouden. Er zijn ook nieuwe rechten bij gekomen. Zo mag de betrokkene:
     
    • zijn/haar toestemming voor het gebruik van zijn/haar gegevens steeds intrekken.
    • altijd toegang hebben tot zijn/haar gegevens.
    • zich beroepen op het recht op vergetelheid. Dat komt in de praktijk neer op het wissen van de gegevens van de betrokkene voorzover het de integriteit van historische documenten niet schaadt. De gegevens die zich in zulke documenten bevinden worden niet meer gebruikt (denk bijvoorbeeld aan oude facturen met de naam van de betrokkene op).
    • zijn/haar gegevens laten verplaatsen. Gegevens moeten dus overdraagbaar zijn. Als u bijvoorbeeld wil wisselen van energieleverancier, kunt u bij leverancier A vragen om uw gegevens door te geven aan leverancier B.
       
      Weet u zeker dat u zichzelf definitief van het internet wilt verwijderen? U kunt deze bewerkting niet ongedaan maken. Annuleer, Vergeet mij

      Als het op het internet staat kan het u voor altijd achtervolgen! In de GDPR is het recht op vergetelheid opgenomen.
      * Dit is geen echte pop-up

  3. Onder de GDPR vallen ook een aantal technische maatregelen. Zo heeft elk bedrijf een meldingsplicht in het geval van problemen. Binnen de 72 uur moeten de betrokkenen en de juiste instanties op de hoogte gebracht worden van het voorval. Ook als de gegevens beschermd zijn via encryptie. Let er ook op dat u al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) de privacy in acht neemt. Privacy by design is hier een goede methode voor. (bijvoorbeeld: kruis geen vakjes al op voorhand aan om een nieuwsbrief te ontvangen. De gebruiker moet dit zelf doen, zodat zijn/haar toestemming expliciet is.)
     
  4. Elk bedrijf dat gegevens verwerkt moet ook een Data Protection Officer (DPO) aanstellen. Deze persoon is verantwoordelijk voor wat er met de data gebeurt, wanneer er zich problemen voordoen of als een betrokkene iets wil met zijn/haar gegevens. Dit geldt vooral voor overheidsinstanties of -organen, voor verwerkingsverantwoordelijken of verwerkers die belast zijn met verwerkingen die regelmatige en stelselmatige observatie op grote schaal eisen en voor wie belast is met verwerking van bijzondere categorieën van gegevens.
     
    Legeruniform met tag Data Protection Officer

    De Data Protection Officer is de eerste contactpersoon in een bedrijf wat betreft persoonlijk informatie die dat bedrijf verzamelt. Vermeld zeker in uw privacy beleid wie dat is en hoe natuurlijke personen hem of haar kunnen contacteren. 

  5. De GDPR voorziet een centraal punt van handhaving voor bedrijven die in meerdere EU landen werken via een systeem van samenwerking en consistentie-procedures. Dat wordt het ‘one stop shop’-mechanisme genoemd. Internationale gegevensverwerking gebeurt dus vanuit één centraal punt, doorgaans is dat het hoofdkantoor van een bedrijf gevestigd in de EU. 

Rechtvaardigingsgronden

Om gegevens te mógen verwerken moet ook voldaan zijn aan één van de zes rechtvaardigingsgronden.

  1. (geïnformeerde) toestemming (vb. akkoord met privacy policy)
  2. Uitvoerige overeenkomst (vb. adresgegevens bij online shopping)
  3. Wettelijke verplichting (vb. sociale zekerheid: samenstelling gezin)
  4. Vitale belangen (vb. bij een ongeval geen handtekening nodig om over te gaan tot behandeling)
  5. Taak van algemeen belang
  6. Behartiging van de gerechtvaardigde belangen (vb. zaken binnen redelijke verwachtingen: e-mails ontvangen na het weggeven van visitekaartje) 

Drie principes moeten ook te allen tijde vervuld zijn:

  1. Finaliteit (doelbeperking)
  2. Proportionaliteit (niet meer gegevens gebruiken dan nodig voor een bepaald doel)
  3.  Transparantie (het doel van gegevensverwerking moet altijd duidelijk zijn) 

De GDPR concreet

Concreet komt het erop neer dat de GDPR dient voor de bescherming van natuurlijke personen.

Bedrijven en hun bedrijfsgegevens vallen hier dus niet onder. Zelfstandigen (zoals eenmanszaken) bevinden zich evenwel in een grijze zone. Hun werkadres kan hetzelfde zijn als hun woonadres, idem met hun telefoonnummer.

Heeft de GDPR invloed op adressenlijsten kopen of huren?

B2B bedrijven kunnen zonder problemen adressenlijsten aankopen of huren. B2C bedrijven moet er zich van vergewissen dat elke particulier op hun lijst expliciet toestemming heeft gegeven voor het gebruik van hun gegevens. Deze bedrijven moeten extra opletten bij het kopen of huren van adressenlijsten. Want onder de GDPR zijn zowel zij als degene die de lijsten verkoopt of verhuurt aansprakelijk. In ieder geval moet er steeds een uitschrijf-mogelijkheid (opt-out) zijn.

Cookies en de GDPR

Voor cookies is het nu al zo dat de bezoeker van uw website deze moet aanvaarden. Met de GDPR is het echter belangrijk dat u in uw privacy beleid goed omschrijft welke cookies uw website gebruikt en waar ze voor dienen. Als de cookies op uw website informatie verzamelen waarmee een bezoeker kan geïdentificeerd worden dan valt dat onder persoonlijk informatie. Hier is dan ook de expliciete toestemming nodig van de gebruiker. Voor cookies die technisch noodzakelijk zijn voor uw website is toestemming in principe niet nodig. Het komt echter uw bedrijf ten goede als u hierover transparant bent. 

GDPR letterkoekjes

De waarschuwing dat u cookies gebruikt wordt mogelijk overbodig onder de GDPR. Het lijkt ons echter wel aangewezen dat u deze vervangt door een melding over uw privacy beleid. 

Is uw bedrijf klaar voor de GDPR? Download snel uw gratis checklist!