Wat is de 'General Data Protection Regulation'?


De GDPR is een nieuwe wetgeving die een hoge standaard zet voor toestemming bij het gebruik van iemands persoonlijke gegevens. En ook zwaar kan afstraffen indien die gegevens verkeerd worden gebruikt of slecht zijn beveiligd.

Met persoonlijke gegevens of data wordt eender vorm van informatie bedoeld die rechtstreeks of onrechtstreeks kan gekoppeld worden met een individu. Ook losse stukjes informatie, die wanneer samen gepuzzeld, kunnen leiden naar de identificatie van een bepaalde persoon spelen mee. Heb je dus gegevens van individuen in je beheer, van werknemers, bezoekers of clienten, dan is de GDPR van toepassing op jou(w organisatie).

...

Wat gebeurt er vanaf 25 mei 2018?

De deadline voor compliancy met de GDPR is 25 mei. Dit mag dus niet het startpunt van je GDPR-proces zijn! Wat zeker belangrijk is dat je als zelfstandige of organisatie tegen eind mei zicht hebt op alle persoonsgegevens die je hebt verzameld en waarvoor en je ook een duidelijk actieplan kunt voorleggen. Idealiter ben je natuurlijk al volledig compliant.

Wat als ik nog niet compliant ben?

Vanaf 25 mei 2018 wordt de GDPR gehandhaafd. Zorg dat je zo snel mogelijk alle persoonsgegevens die je bezit in kaart brengt (dataregister) en stel een duidelijk ctieplan samen dat je kunt voorleggen bij controle.

Wat als ik al compliant ben?

Eens je compliant bent stopt het proces niet. De GDPR stelt de verwachting van een continu proces met bijwerken en monitoren van persoonsdata. De Data Haven monitor kan in dit proces faciliteren.

...

De GDPR in 't kort'


Volgens de Belgische Privacy Commissie kan je je het best voorbereiden door het afchecken van hun 13-stappen plan. Hieronder lichten we kort toe:

  • Bescherming van persoonlijke data van de Europese burger
  • Maatregelen tegen hackers en datalekken
  • Procedure voor dataverzameling en -opslag van persoonlijke gegevens
  • Toestemming vragen om gegevens te verzamelen en gebruiken
  • Individu heeft het recht om ‘vergeten te worden’
  • Datalek moet u kunnen melden binnen 72 uur
GDPR 101: Begin met bewustmaking
Om te beginnen, kan je er maar best zeker van zijn dat medewerkers in het bedrijf op de hoogte zijn van de GDPR. Informeer werknemers over de aankomende veranderingen, en zorg ervoor dat sleutelfiguren weten wat de GDPR inhoudt. Zij moeten immers aanduiden op welke vlakken het bedrijf moet ingrijpen om compliant te worden.
Begin nu al met het vergaren van je data. Breng in kaart welke data je hebt bewaard en waar deze staat. Onderschat deze stap niet; niet alleen is het belangrijk om te weten waar de data zich bevindt, ook is het cruciaal om te weten met welke partijen je de informatie hebt gedeeld. Een informatie-audit kan daarbij helpen, volgens de Privacycommissie.
Ga na of je privacyverklaring nog up-to-date is. Volgens de GDPR moeten bedrijven hun privacyverklaring aanvullen met extra informatie zoals de wettelijke grondslag voor de gegevensverwerking, de duur waarvoor je de gegevens bewaart, en of je de gegevens deelt buiten de EU. Bovendien moet de gebruiker op de hoogte worden gebracht dat hij of zij eventueel misbruik van zijn of haar gegevens aan kan klagen bij de Privacycommissie. Vermijd daarbij archaïsche taal: de privacyverklaring moet zo duidelijk mogelijk zijn.
In de GDPR krijgt de “betrokkene”, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten. Bedrijven moeten het mogelijk maken om die rechten te vervullen. Controleer daarom of een gebruiker volgende acties kan ondernemen:
  • Persoonsgegevens inkijken
  • Gegevens verbeteren of verwijderen
  • Direct marketingpraktijken weigeren
  • Geautomatiseerde besluitvorming en profilering weigeren
  • Gegevens overdragen naar andere leveranciers/bedrijven
Normaal gezien zal je hier weinig hinder van ondervinden, aangezien de GDPR hiervoor sterk voortbouwt op de huidige privacywet.
De gebruiker heeft het recht om zijn of haar gegevens in te kijken; dat is nu ook al het geval. Onder invloed van de GDPR zal een bedrijf echter sneller moeten reageren. Het verzoek moet binnen 30 dagen worden verwerkt, in plaats van 45 dagen. Bovendien moet je de gebruiker in dat geval informeren over de bewaartermijn van de gegevens, en moet je onnauwkeurige gegevens verbeteren als daar om gevraagd wordt. Als je een groot aantal verzoeken moeten verwerken, kan het nuttig zijn om gebruikers toe te laten om hun gegevens online raad te plegen. De Belgische Privacycommissie raadt zulke bedrijven daarom aan een kosten/baten-analyse te organiseren om te zien of een online toegangssysteem een mogelijke oplossing is.
In tegenstelling tot de huidige wet, is het volgens de GDPR cruciaal om een wettelijke basis te bepalen voor de gegevensverwerking. Die basis bepaalt immers ook welke rechten de gebruiker heeft omtrent zijn gegevens.”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,” volgens de Privacycommissie. Die wettelijke grondslag moet beschreven worden in de privacyverklaring en nog eens verduidelijkt worden bij een verzoek tot inkijk.
Controleer op welke manier je toestemming vraagt en hoe je deze bewaart. Op de verzameling van persoonsgegevens kijkt de GDPR streng toe of je de gebruiker voldoende inlicht. Je moet ten alle tijden kunnen bewijzen dat er toestemming is gegeven voor de persoonsgegevens die je hebt bewaard. Dat moet expliciete toestemming zijn; geen vooraf aangevinkt vakje of andere vorm van “niet-handelen”. De gebruiker moet actief akkoord gaan.
Vanaf nu moet ook sterker worden gecontroleerd op de persoonsgegevens van minderjarigen. Indien je bedrijf de gegevens van gebruikers onder 16 jaar verzamelt, moet je de toestemming hebben van een ouder of voogd. Indien nodig moet je kunnen toetsen of deze van de ouder of voogd afkomstig is. Bovendien moet de privacyverklaring geschreven zijn zodat ook minderjarigen deze kunnen begrijpen.
De gevreesde meldplicht: datalekken waarbij de persoonsgegevens gevaar lopen, moeten gemeld worden aan de Privacycommissie. De nodige procedures moeten dus worden ontwikkeld om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Onderzoek ook welke persoonsgegevens er toe kunnen leiden dat je de gebruiker zelf moet waarschuwen: bijvoorbeeld het geval wanneer bankgegevens gestolen worden, en de gebruiker mogelijk bestolen kan worden.
Ga na of je privacyverklaring nog up-to-date is. Volgens de GDPR moeten bedrijven hun privacyverklaring aanvullen met extra informatie zoals de wettelijke grondslag voor de gegevensverwerking, de duur waarvoor je de gegevens bewaart, en of je de gegevens deelt buiten de EU. Bovendien moet de gebruiker op de hoogte worden gebracht dat hij of zij eventueel misbruik van zijn of haar gegevens aan kan klagen bij de Privacycommissie. Vermijd daarbij archaïsche taal: de privacyverklaring moet zo duidelijk mogelijk zijn.
Kijk allereerst na of je een data protection officer (DPO) nodig hebt: dat is niet voor elk bedrijf verplicht. Als je er een nodig hebt, kan je al op zoek gaan naar een geschikte kandidaat. Een nieuwe, fulltime werknemer is niet per se nodig, denk ook aan een consultant, of een interne werknemer die de functie naast zijn bestaande job opneemt.
Als je in verschillende landen persoonsgegevens verzamelt, moet je nagaan welke autoriteiten toezicht houden over jouw activiteiten. Over het algemeen wordt naar de hoofdzetel gekeken: een bedrijf met een Belgische hoofdzetel, en daarnaast branches in bijvoorbeeld Nederland, valt nog steeds onder de Belgische Privacycommissie. Het kan echter ook zijn dat niet de hoofdzetel, maar een van de internationale takken beslist over de gegevensverwerking van het hele bedrijf. In dat geval valt het bedrijf onder de autoriteit in dat specifieke land. Check daarom waar de grootste beslissingen worden genomen inzake de verwerking van persoonsgegevens, en baseer je daarop om te weten welke autoriteit van kracht is.
Vergis je niet, de GDPR is ook van toepassing op eventuele diensten waar je bedrijf gebruik van maakt. Gebruik je bijvoorbeeld een verwerker, een bedrijf die de persoonsgegevens verwerkt zodat jij ze kan gebruiken, dan is ook die verantwoordelijk voor de privacy van de gegevens. Opgelet: een verwerker is volgens de GDPR evengoed een cloudprovider. Ook zij moeten de GDPR naleven, en als jij hun diensten gebruikt, ben jij verantwoordelijk om te controleren of ze compliant zijn. Controleer dus bestaande contracten en maak de nodige aanpassingen.
Lees hier de originele wetgeving na Lees hier het dossier van de privacy commissie
Start nu

Word en blijf GDPR-compliant


Teken nu in bij Data Haven en start je compliancy-proces vandaag nog.

Intekenen
Meer weten? Bekijk onze diensten