Algemeen nieuws

Wat is GDPR? (of AVG- Algemene Verordening Gegevensbescherming)
General Data Protection Regulation gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese Burgers.

De Algemene verordening Gegevensbescherming (GDPR) heeft als doel om de persoonsgegevens en de privacy van de Europese burgers beter te beschermen. Maar wat zal de impact zijn? En welke uitdagingen komen hierbij kijken? Elke website die gegevens verzamelt van zijn bezoekers, zal vanaf eind mei 2018 helemaal in regel moeten zijn met de nieuwe regels op vlak van(GDPR), verordening. Een hele mond vol, maar wat betekent die term nu net en wat houdt die nieuwe regelgeving in? Hier volgt een woordje uitleg, want je zal hoe dan ook in regel moeten zijn om potentiële boetes te vermijden. Vanzelfsprekend zullen de grootste bedrijven en sociale media zoals Facebook het meest geviseerd worden.
(De boetes kunnen oplopen tot 20 miljoen euro of 4 % van de jaarlijkse wereldwijde omzet!)

Beknopt samengevat houdt de GDPR-wetgeving het volgende in:

1. Transparantie: als bedrijf moet je transparant en ondubbelzinnig je gebruikers informeren over hoe identificeerbare data over hen verzameld en verwerkt wordt.
2. Recht op corrective: De persoon van wie u gegevens bijhoudt, heeft het recht om onjuiste of onvolledige persoons- gegevens te verbeteren. U moet binnen de maand reageren (verlengbaar met 2 maanden). U moet ook derden aan wie deze gegevens werden bezorgd, hierover informeren en aan de betrokkene meedelen aan welke derden de persoonsgegevens werden bezorgd. 
3. Recht van verzet: De persoon van wie u gegevens bijhoudt, heeft het recht zich te verzetten tegen de verwerking van zijn gegevens op basis van ernstige en gerechtvaardigde redenen (tenzij wettelijk bepaald of wanneer noodzakelijk voor uitvoeren van een overeenkomst). Wanneer gegevens worden verzameld met het oog op direct marketing, dan kan de betrokken persoon zich kosteloos en zonder verantwoording verzetten tegen de verwerking van zijn gegevens. U moet de betrokken persoon in elk geval informeren over zijn recht op verzet en het uitdrukkelijk vermelden in de privacy policy. 
4. Recht van inzage: De persoon van wie u gegevens bijhoudt, heeft het recht om bepaalde gegevens in te kijken en bijkomende informatie te ontvangen over heel wat zaken. U moet ook een gratis kopie verstrekken van de verwerkte persoonsgegevens binnen de maand (verlengbaar met 2 maanden). 
5. Recht om vergeten te worden: bedrijven moeten persoonsgegevens op aanvraag kunnen wissen. Deze pijler kreeg eerder al heel wat aandacht in de media, meer bepaald in relatie tot Google.
6. Meldplicht: een datalek van persoonsgegevens moet, op straffe van zware boetes, binnen de 72 uur gemeld worden aan de CBPL (Comissie voor de bescherming van de persoonlijke levenssfeer).
7. Data-overdracht: zorg dat gebruikers hun gegevens makkelijk kunnen opvragen om naar een andere dienstverlener over te schakelen.
8. Internationale data-overdracht: persoonsgegevens van Europese burgers dienen steeds beschermd te worden volgens de GDPR-wetgeving. Ook indien de hoofdzetel van een bedrijf buiten de Europese Unie gevestigd is.

ENKELE VOORBEELDEN

De nieuwe GDPR- wetgeving heeft verregaande gevolgen voor élke soort gegevensverzameling, zoals je inmiddels wel al door hebt. Maar hoe uiten deze regels zich nu concreet? Wij sommen alvast enkele voorbeelden uit de praktijk op:

• Register voor verwerkingsactiviteiten: Als u persoonsgegevens verwerkt, moet u een register bijhouden. Het komt erop neer dat u een aantal gegevens (verwerkingsdoeleinden, termijn waarbinnen gegevens worden gewist, categorieën van persoonsgegevens, categorie- en van ontvangers, beveiligingsmaatregelen, ...) zal moeten bijhouden in een Excelbestand. 
• Promotionele acties: bij een promo-actie verzamel je naam, adres, e-mail … Behoudens expliciete goedkeuring van de deelnemer mag deze data niet meer gebruikt worden buiten het kader van de actie, en moet deze onherroepelijk gewist worden.
• Bestaande databases: bestanden van oud-werknemers, oud-leden en dergelijke meer mogen niet meer bijgehouden worden, tenzij àl deze personen hun expliciete toestemming geven of indien er gegronde en aantoonbare reden is om deze data zonder expliciete toestemming toch te bewaren.
• Minderjarigen: bij data van minderjarigen (in dit geval jonger dan 16 jaar) is altijd toestemming nodig van de ouders! Als dataverzamelaar ben je verplicht ‘redelijke inspanningen’ (dit is voorlopig nog een grijze zone, zonder expliciete afbakening) te doen om de leeftijd te achterhalen, naargelang de context.
• E-commerce: bij anonieme aankopen moeten de persoonsgegevens verwijderd worden nadat de bedenktijd verlopen is. Enkel zaken die betrekking hebben tot de facturatie mag je bijhouden. Als bij een databaselek met informatie van betaalkaarten blijkt dat het bedrijf en/of webshop niet GDPR-compliant is, dan draait het bedrijf - en eventueel ook de technische partner - op voor de volledige schade.
• Tracking: bij profiling (naam + segmenteren) van bezoekers op een site/applicatie, moet duidelijk gemeld worden aan de bezoeker met wat er getrackt wordt en waarom. Opt-out moet altijd kunnen, en dus moet er ook een degelijke privacy policy, die dit duidelijk toelicht, aanwezig zijn.
• Verkrijgen/aankoop van databases: bij aankoop of andere manier van verkrijgen van data, moet je iedereen binnen de 30 dagen verwittigen met vermelding van je bron (‘data verkregen van X’), tenzij de betrokkenen dit al weten of de inspanning te groot is (ook dit is weer een grijze zone).

Als organisatie moet u vanaf 25 mei 2018 kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt, of u dit nu in uw datacenter of in de cloud buiten de EU beheert. Bij controle van de Privacy commissie moet je een stappenplan kunnen voorleggen.

Een voorbeeld van een stappenplan:

1. Bewustmaking: Doordat u deze info doorneemt, heeft u stap 1 gezet. Vanaf  25 mei 2018 gelden nieuwe (Europese) maatregelen voor uw bedrijf inzake privacy. 
2. Beveiliging van data: Breng in kaart over welke persoonsgegevens uw bedrijf beschikt en waar deze data wordt opgeslagen en gedeeld. Deze info wordt gebundeld in een dataregister. Een (DPIA)  Data Protection Impact Assessment is een soort veiligheidsaudit waarin u moet onderzoeken hoe u met data omgaat en welke risico’s op verlies of diefstal van data u loopt. Op basis daarvan moet u dan een actieplan opzetten om die risico’s weg te nemen. Deze verplichting is voornamelijk van toepassing op ondernemingen die op grote schaal aan profiling en direct marketing doen.
3. Bescherm de verzamelde gegevens degelijk: Gebruik de juiste beveiligingstools en security monitoring om uw bedrijf te beschermen tegen cyberinbreuken. 
4. Communicatie en reputatiebescherming: Verzamelt u persoonsgegevens, dan moet u toestemming vragen hiervoor en in een duidelijke privacyverklaring formuleren hoe u deze aanwendt. Evalueer de wijze waarop u dit nu doet en schakel aangepaste toestemmingsmechanismes in waar nodig.
5. Contractbeheer: U bent verplicht om contractuele afspraken te maken met bedrijven die persoonsgegevens verwerken (bv. cloudprovider). Herzie dus zeker ook bestaande contracten, zodat deze voldoen aan de vereisten van de GDPR regelgeving.
6. Verzekering: Wenst u zich in te dekken tegen de risico’s die het beheren van data met zich meebrengen zoals: het lekken van data, verlies van data, reputatieschade, herstellen van gegevens enz…. dan kunt u opteren voor een specifieke verzekering.
7. Monitoring en periodieke toetsing: Monitor uw IT beveiliging en toets continu uw bescherming en GDPR-naleving  af. Laat uw beveiliging regelmatig testen en werk niet met verouderde software.

Beste collega’s onderschat deze nieuwe wetgeving niet en maak er werk van. Gelukkig heeft België verklaard om de eerste twee jaar geen boetes uit te schrijven zodat iedereen zich geleidelijk aan kan informeren en aanpassen.

Een goede (beste) raad:verzamel alleen het noodzakelijke en hoe minder hoe liever.