GDPR
Op 25 mei 2018 is het zover, dan treden de nieuwe Europese privacyregels in werking.

De term ‘GDPR’, kort voor General Data Protection Regulation, heb je ongetwijfeld al horen vallen. Deze vervangt de nationale privacywetgeving van alle Europese lidstaten en is aangepast aan de digitale realiteit van vandaag – denk bijvoorbeeld aan ontwikkelingen zoals de cloud en social media, en de enorme hoeveelheden data die daarmee gepaard gaan.

Elk bedrijf dat persoonsgegevens verzamelt, moet voldoen aan de nieuwe set regels van de GDPR. Bedrijven die niet in orde zijn, kunnen door de Gegevensbeschermingsautoriteit worden beboet.

Je huiswerk maken

Nog geen (of niet genoeg) stappen gezet richting GDPR-compliancy? Met nog zes maanden te gaan, wordt het hoog tijd om je databases tegen het licht te houden. Een data-audit is daarbij het eerste punt op de agenda.

Documenteer (1) waar je persoonsgegevens verzamelt, (2) hoe deze beschermd worden en (3) op welke manieren je deze verwerkt. Sommige bedrijven maken deze oefening met een data protection officer, die instaat voor de handhaving van de GDPR.

Pas zeker ook je privacyverklaring aan. Deze moet melding maken van de wettelijke grondslag voor de gegevensverwerking, de duur waarvoor je de gegevens bewaart, en of je de gegevens deelt buiten de EU. Dit alles moet zo duidelijk mogelijk zijn geformuleerd.

Verder is het cruciaal om te weten met welke partijen je informatie hebt gedeeld. GDPR is namelijk ook van toepassing op diensten waar je bedrijf gebruik van maakt, zoals verwerkers en cloudproviders. Als jij hun diensten gebruikt, moet jij controleren of ze compliant zijn.

Veel leveranciers zijn hier actief mee bezig – zie Mailchimp – maar de verantwoordelijkheid ligt uiteindelijk bij jou.

Nieuwe én oude data

GDPR geldt niet alleen voor nieuwe data. Vanaf 25 mei 2018 moeten ook alle gegevens die je in het verleden verzamelde, in orde zijn. Een reactiveringscampagne kan zich opdringen om je huidige database GDPR-compliant te krijgen. Zo ben je zeker dat je de juiste toestemmingen hebt om bepaalde acties uit te voeren.

> Klik hier voor 13 GDPR-tips van de Belgian Privacy Commission

Op de juiste manier toestemming vragen

De toestemming van een gebruiker moet een rechtstreeks gevolg zijn van een expliciete actie. GDPR schrijft voor dat je kunt bewijzen dat er toestemming is voor de persoonsgegevens die je hebt bewaard. Geen vooraf aangevinkt vakje of andere vorm van ‘niet-handelen’!

Formulieren op landingspagina’s mogen alleen informatie bevatten die effectief nodig is om je doelen te kunnen realiseren. Processen die in de achtergrond draaien, moeten veilig en encrypted zijn.

Een controlespoor laat toe om aan te tonen wanneer en waarvoor een gebruiker allemaal toestemming heeft gegeven. Is je data sterk verspreid over verschillende bestanden en databases? Dan dringt een Master Data Management-systeem zich op. Zo heeft iedereen binnen je bedrijf op elk moment een duidelijk zicht op de juiste klanteninformatie.

Datalekken

Als er iets misloopt, ben je verplicht dat te melden aan de Privacy Commissie en in sommige gevallen zelfs aan de gebruiker. Ontwikkel de nodige procedures en systemen om datalekken op te sporen en te onderzoeken, want je hebt maar 72 uur om dit te melden.

Het gaat hier trouwens niet alleen over hackers: ook als een werknemer zijn laptop kwijtspeelt of iemand een e-mail met persoonsgegevens naar een fout adres stuurt, zit je met een ‘lek’.

Elk bedrijf moet voorts beschikken over een dataregister. Het betreft een overzicht van de persoonsgegevens die je verwerkt, waar deze vandaan komen en met wie ze worden gedeeld. Als er ooit een datalek is, moet je dit register voorleggen om te bewijzen dat je de regels hebt gevolgd.

In snackvorm

Op 25 mei 2018 treedt de ‘GDPR’ in actie.

  • Staat voor General Data Protection Regulation en geldt voor nieuwe én oude data.
  • Vervangt de nationale privacywetgeving van alle Europese lidstaten.
  • Documenteer in een dataregister waar je persoonsgegevens verzamelt, hoe deze worden beschermd, en hoe je ze verwerkt.
  • Zorg dat ook je leveranciers en onderaannemers GDPR-compliant zijn.
  • Datalekken moeten binnen 72 uur worden gemeld aan de Privacy Commissie.

Met dank aan Elegis.

Avatar
Matteo Van Mol
matteo.vanmol@websteak.be