GDPR: General Data Protection Regulation

 

Een nieuwe Europese richtlijn om privacy in goede banen te leiden.

Treedt in werking op 25 mei 2018

 

Elk bedrijf dat persoonsgegevens (namen, IP-adressen, cookies, …) van EU-burgers verwerkt, wordt onderworpen aan de GDPR.

In de GDPR worden vele principes uit de Belgische Privacywet opgenomen. Inclusief een aantal belangrijke nieuwigheden die van jou als ondernemer actie zullen vragen. Indien het niet naleven van de GDPR, kunnen er hoge boetes ontstaan vanaf 25 mei 2018.

Wij helpen je graag verder met een stappenplan:

 

  1. 1.Bewustwording bij iedereen

Zorg ervoor dat elke medewerker in je bedrijf zich bewust is van de aankomende nieuwe regelgeving. Dat is nodig om de gevolgen in te schatten en de noodzakelijke wijzigingen door te voeren.

  1. 2.Dataregister

De documentatieplicht zorgt ervoor dat elk bedrijf een dataregister moet hebben. In geval van een datalek, moet je dit register voorleggen om aan te tonen dat je de regels hebt gevolgd.
Dit register bevat een accuraat overzicht van de persoonsgegevens die je verwerkt, waar ze vandaan komen en met wie je ze deelt.

  1. 3.Onderzoek je data

Persoonlijke data mag enkel verwerkt worden indien:

-          Het noodzakelijk is voor de uitvoering van de diensten

-          Er een wettelijke verplichting bestaat

-          Je hiervoor toestemming hebt gekregen

       Persoonlijke data mag niet onbeperkt in je bezit blijven. Je moet deze data in kaart
       brengen en kenbaar maken, zoals bijvoorbeeld in een privacyverklaring.
       Overeenkomsten, algemene voorwaarden, bestelbons en privacyverklaringen moeten
       conform zijn aan de nieuwe wetgeving.

  1. 4.Toestemming

Volgens de GDPR moet de manier waarop je toestemming vraagt om persoonsgegevens vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Ook moet het uit een actief handelen blijken. (Toestemming afleiden uit een eerder aangevinkt keuzevakje is niet geldig.)

Elke toestemming moet geregistreerd zijn. Zo kan men controleren of je de persoonlijke gegevens op een correcte manier hebt verzamelt.

Bij verwerking van persoonsgegevens van minderjarigen is er expliciete toestemming van de ouder of voogd nodig.

  1. 5.Communicatie over gegevensverwerking

Communiceer duidelijk over je privacybeleid. Dit moet volgens de GDPR op een beknopte, begrijpbare en duidelijke taal gebeuren.

Dit moet je meedelen:

-          Identiteit van de verwerker

-          Wijze waarop je gegevens behandelt

-          Waarom mag je deze gevens verwerken

-          Hoe lang houdt je de gegevens bij

-          Worden de gegevens uitgewisseld buiten de Europese Unie

-          Hoe kan er klacht ingediend worden bij de privacycommissie

         Bekijk ook hoe lang je gegevens mag bewaren, dit is anders per land.

  1. 6.Privacy op maat

Bij de ontwikkeling van producten en diensten moet er aandacht besteed worden aan privacyverhogende maatregelen (privacy enhancing technologies). Het pseudonimiseren van persoonsgegevens is één van de mogelijkheden, alsook het limiteren van toegangsrechten tot persoonlijke data. Als je data anonimiseert, valt dit niet meer onder persoonlijke data en is privacy niet meer van toepassing.

Voor het uitvoeren van nieuwe, risicovolle processen moet een ‘Privacy Impact Assessment’ uitgevoerd worden.

  1. 7.Rechten

Particulieren heb recht op:

-          Informatie en toegang tot persoonsgegevens

-          Verbetering en verwijdering van gegevens

-          Bezwaar tegen direct marketingpraktijken, geautomatiseerde besluitvorming en profilering

-          Overdraagbaarheid van de gegevens. Iedereen moet zijn gegevens in een gangbare, electronische vorm kunnen opvragen.

  1. 8.Data disaster plan

De GDPR stelt dat je op voorhand een plan moet hebben hoe je een eventueel datalek gaat oplossen. Zorg dus voor procedures die datalekken zo snel mogelijk opsporen, onderzoeken en melden (privacycommissie, de betrokkene wiens data gelekt is).

Indien je niet voldoet aan de meldplicht, riskeer je niet alleen een boete voor het datalek, maar ook een boete voor het niet naleven van de meldplicht.

  1. 9.Data Protection Officer

Een DPO moet worden aangesteld indien er regelmatig en stelselmatig privacygegevens op grote schaal geobserveerd worden.

  1. 10.Datastream niet-EU-landen

Indien je buiten de EU data verwerkt of doorgeeft, zal je de privacywetgeving van dat land moeten nakijken. Zorg dat contractueel alles in orde is met internationale partijen.

 

Het is aan te raden om bijstand te zoeken bij een specialist ter zake. Wij helpen u graag verder.