GDPR: De basics

Niet iedereen hoeft alles van jou te weten. Dat spreekt voor zich. Het is dan ook maar wenselijk dat er wel wat regeltjes bestaan als het aankomt op jouw privé gegevens. Die regeltjes zijn er altijd al geweest, maar worden aangepast aan de maatschappij. En laat ons nu net in een super digitale wereld leven. Een wereld waarin we continu online zijn, en in contact staan met andere mensen en bedrijven. Het is dan ook niet meer als normaal dat we de huidige regels herbekijken.

Dat is dan ook wat er is gebeurd. De Europese General Data Protection Regulation regels (GDPR voor de vrienden) leggen de nadruk op de bescherming van die individuele persoonsgegevens. Privé gegevens, maar ook professionele en openbare gegevens. En dat gaat verder dan je telefoonnummer. Jouw persoonsgegevens, in welke vorm dan ook, worden door de GDPR beter beschermd. Denk maar aan je bankgegevens, je social media data, je medische informatie en zelfs je IP-adres.

What’s new?

De GDPR is een nieuwe Europese verordening om de gegevens van Europese burgers beter te beschermen. Deze wetgeving is al van kracht, maar zit nog in een soort ‘inloopperiode’ om bedrijven voldoende tijd te geven om zich aan te passen. Je hebt namelijk tot 25 mei 2018 om je gegevensbeheer in overeenstemming te brengen. De nieuwe verordening verstrengt de bestaande regels, en verplicht alle lidstaten om voorzichtiger om te springen met data. Concreet: de regels gelden voor alle bedrijven gevestigd in de EU, maar ook voor bedrijven buiten de EU die wel goederen of diensten leveren binnen de EU en bedrijven die persoonlijke gegevens of gedrag monitoren van EU burgers.

Welke bestaande regels, vraag je?

Een tijd geleden (in 1995) bracht Europa een richtlijn uit rond databescherming. Elke lidstaat besliste tot nu zelf wat er met die richtlijn gebeurde. Nu kan dat niet meer, en wordt elk land (jep, zelfs ‘t Verenigd Koninkrijk) verplicht om de regels op te volgen. Worden de regels niet gevolgd? Dan kan er een sanctie volgen. Ahja, want een verordening is bindend, en lang niet zo flexibel als een richtlijn. Goed opletten dus!

Waarom dan die verandering?

Dat is eigenlijk heel simpel. Sinds 1995 is onze maatschappij enorm geëvolueerd. Denk aan de snelle opmars van sociale media, de cloud, the internet of things, virtual reality, … De digitalisering van ons leven zit in een stroomversnelling, waardoor we meer data verzamelen dan ooit. Soms heel bewust, en op andere momenten net onzichtbaar. Die data moeten beschermd worden. De huidige regelgeving houdt dit niet meer vol. Tijd voor verandering!

Ready, set, go!

Wat jij daar nu precies mee te maken hebt? Heel veel, net als ons. Elk bedrijf dat persoonsgegevens van Europese burgers verzamelt of verwerkt is gebonden aan deze regelgeving. ‘Ja maar, wij hebben maar 5 werknemers, dus dan is dit toch niet zo belangrijk?’ Fout. De GDPR geldt voor iedereen. Hoe klein of hoe groot je onderneming ook is. Vanaf het moment dat je persoonsgegevens verzamelt, ben je gebonden aan de wet. Zelfs als je maar met 5 bent, en zelfs als je eigenlijk niets doet met die gegevens.

You, me and GDPR

In principe zijn er vier basispijlers, die een globaal beeld geven van wat er verandert voor jouw bedrijf. Aan elke pijler hangen een aantal specifieke bepalingen, die tot in detail bepalen wat wél en niet meer mag.

1: Transparantie en verantwoording

Als bedrijf word je verplicht om burgers van de Europese Unie te informeren over hoe je data verzamelt en verwerkt, en waarom je dit doet. Dat moet op een begrijpelijke manier gebeuren, zodat iedereen die met jou in contact komt duidelijk begrijpt wat je precies bedoelt. Eenvoudige taal, transparant en begrijpbaar. Bovendien moet je ervoor zorgen dat burgers altijd de mogelijkheid hebben om hun persoonsgegevens te bekijken, aan te passen of te verwijderen. Wanneer burgers een bewijs willen van hun bewaarde persoonlijke gegevens, moet je hier on demand een kopie van verstrekken. Je bent als bedrijf dan ook verplicht om verantwoording af te leggen voor de verwerking van die gegevens.

2: Data overdracht

Daarnaast moet je ervoor zorgen dat burgers hun gegevens ook makkelijk terug kunnen opvragen. Niet alleen om ze aan te passen, maar ook om ze over te dragen naar een andere dienstverlener. Die maatregel is vooral bedoeld om het makkelijker te maken voor de dienstverlener. Op die manier hoeven de gegevens namelijk niet bij elke wijziging opnieuw opgevraagd te worden.

3: Recht om vergeten te worden

Dit betekent dat je als bedrijf er ook voor moet zorgen dat je eender welke persoonsgegevens kunt verwijderen als dat gevraagd wordt én er geen geldig tegenargument gegeven kan worden. Dat geldt ook als die gegevens al gedeeld zijn met derden. Hierop gelden natuurlijk wel enkele uitzonderingen, om het proces flexibel te houden.

4: Meldplicht bij datalekken

Vervolgens word je door de GDPR-richtlijnen verplicht om een datalek te melden binnen de 72 uur, tenzij dat je kan aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens. Aan wie je dat moet melden? Aan de toezichthoudende autoriteit én de betrokken persoon. Nu, voorkomen is altijd beter dan genezen. Daarom moet je er voor zorgen dat alle persoonsgegevens beschermd zijn, dat er regelmatig een back-up gebeurt, én dat je de genomen beveiligingsmaatregelen regelmatig test. Hiervoor moet je als bedrijf de gepaste technologische maatregelen implementeren.

Wie, wat, waar, waarom?

Bovendien mag je niet zomaar alle persoonsgegevens verzamelen en verwerken. Ah neen, want enkel de gegevens die noodzakelijk zijn om een bepaald doel te bereiken, mag je verzamelen en gebruiken. Die gegevens moeten correct zijn, en correct onderhouden worden. Je hebt bijvoorbeeld geen geboortedatum nodig als je een maandelijkse nieuwsbrief wilt versturen.

En of je die gegevens dan voor altijd en voor alles mag gebruiken? Nope, ook dat is vanaf nu vastgelegd in de wet. Je mag de verzamelde data enkel gebruiken voor het doel waarvoor je ze in de eerste plaats hebt verzameld. Wil je ze voor iets anders gebruiken? Dan moet je hier opnieuw toestemming voor vragen. Elke keer.

Je mag al die gegevens ook niet langer bewaren dan nodig voor het beoogde doel. Is er bijvoorbeeld een klant die beslist om niet langer gebruik te maken van jouw diensten als consultancy bureau? Dan is het voor dat bureau ook niet meer relevant om bepaalde gegevens van die persoon bij te houden.

Ciao, adios, I’m done!

Oké, we geven het toe: het overeenstemmen van je gegevensbeheer op de nieuwe wetgeving is veel werk. Het is tijdsintensief en zeker niet altijd even makkelijk. Gelukkig kom je met de hulp van een professional in ‘t vak wel heel ver.

Bovendien heeft de GDPR ook veel voordelen. Hoewel er vrij veel kritiek is ontstaan de afgelopen maanden, is de nieuwe wetgeving eigenlijk net iets vooruitstrevends. Zeker voor bedrijven die internationaal actief zijn. De wetgeving geldt namelijk voor elke lidstaat van de EU. Nu raak je al snel verward in de versnippering van regels en kaders.

Een uniform kader biedt houvast in een veranderende toekomst. Zo wordt uitbreiding naar het buitenland of samenwerking met andere landen veel makkelijker. Op die manier besparen veel bedrijven op lange termijn heel wat geld. Het is een investering, waar je later de vruchten van plukt.

Niet naleven?

Geen zin? Geen tijd? Of niet belangrijk genoeg? Die vlieger gaat niet meer op. Vanaf 25 mei is de nieuwe verordening écht van kracht. Dat betekent dat er vanaf dan ook boetes uitgedeeld kunnen worden. En heel eerlijk? Die zijn niet min.

Afhankelijk van op welke manier je de regels schendt, kan de boete oplopen tot 2% van de jaarlijkse omzet. Een ernstige misstap betekent dat de boete tot maar liefst 4% van de omzet kan zijn, met een maximum van 20 miljoen euro. Daar graaf je liever niet naar.

Dat klinkt erg streng, maar in werkelijkheid valt dit beter mee dan je zou denken. Wordt jouw onderneming gecontroleerd, of gaat er iets mis? Dan bepaalt een onafhankelijke partij hoe jij het als onderneming doet. In een eerste fase gaat het namelijk vooral om een heropvoeding van bedrijven. Het is niet makkelijk om alles meteen helemaal juist te doen, omwille van de grote impact van de nieuwe verordening.

Daarom is er een soort ‘speelruimte’ voorzien. Heeft jouw onderneming inspanning getoond om haar werkwijze aan te passen, maar loopt er iets mis? Dan ben je er als bedrijf vooral bij gebaat dat je eruit leert. Zolang je ermee bezig bent, wordt er al eens wat door de vingers gezien. Lap je er je laars aan? Dan zijn die boetes wel heel reëel.

Maak deel uit van het gesprek:

*