Nieuwsarchief

Wat u moet weten over GDPR

Er is momenteel heel wat te doen over de nieuwe Europese privacy wetgeving, de zogeheten General Data Protection Regulation (GDPR), over de bescherming & uitwisseling van persoonsgegevens.
Een korte samenvatting van de huidige stand van zaken.

GDPR in een notendop

Deze Europese wetgeving is een ingrijpende herziening van de bestaande Europese Data Protection Directive uit 1995. Elk bedrijf dat persoonsgegevens verwerkt, online of offline, staat voor ingrijpende aanpassingen in zijn interne processen en in de wijze waarop het met zijn database omgaat. Het gaat over "iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon". Klanten dus, maar ook leveranciers en werknemers. Bovendien gaat het over alle mogelijke manieren waarop bedrijven die gegevens verwerken: verzamelen, opslaan, verzenden, enzovoort.

Hoewel er in België nog veel onduidelijkheid bestaat over de nieuwe wetgeving, vinden we het noodzakelijk om u nu al hierover te informeren. Hieronder een samenvatting van de GDPR voor zoverre deze vandaag bekend is.

Verplichtingen, regels en boetes

De nieuwe regelgeving legt verplichtingen op aan wie gegevens verwerkt. Tot nu toe volstond het dat u de Commissie voor de bescherming van de persoonlijke levenssfeer (www.privacycommission.be) verwittigde van de gegevensverwerking, maar voortaan moet u met bewijzen aantonen dat u daarbij de richtlijnen respecteert.

  • Bedrijven zullen voor mei 2018 een audit moeten uitvoeren om intern in kaart te brengen welke databases zij bezitten, door wie die beheerd worden, hoe data daarin terecht komt, wie er toegang toe heeft en wat er met die data gebeurt. Het gaat daarbij duidelijk niet enkel om marketing- of klantendatabases, maar ook om gegevens van HR of van het accountingdepartement.
  • Bedrijven zijn verplicht om maximale interne veiligheidsmaatregelen te nemen voor toegang tot en gebruik van database (zowel technisch als bijvoorbeeld in arbeidsreglementen) en de verplichting om met alle onderaannemers geschreven contracten aan te gaan met daarin een reeks verplichte clausules.
  • Aansluitend moet een risicoanalyse uitgevoerd en gedocumenteerd worden om het risico op verlies of hacking van data in te schatten en een plan geïmplementeerd worden om op het ogenblik dat er sprake is van een data breach onmiddellijk het nodige te doen.
  • Datalekken moeten binnen 72 uur worden gemeld aan de overheid, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

De nieuwe privacyverordening brengt ook nieuwe regels met zich mee wat betreft de manier waarop bedrijven data verzamelen.

  • Consumenten zullen zich kunnen verzetten tegen zogenaamde "profiling": het feit dat bedrijven een consumentenprofiel op basis van voorkeuren, aankoopgedrag, leeftijd, enz bouwen.
  • “Right to be forgotten” houdt in dat bedrijven persoonsgegevens moeten kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden – ook als de data inmiddels gedeeld is met derde partijen.
  • De regels rond “privacy by design” en “privacy by default” kunnen door bedrijven best niet te luchtig opgenomen worden.
    • Privacy by design houdt in dat al wie verantwoordelijk is voor de verwerking van persoonsgegevens voortaan verplicht is al meteen bij de ontwikkeling van zijn producten en diensten privacybeschermende maatregelen in te bouwen.
    • Privacy by default betekent dat een product of dienst standaard dusdanig moet zijn ingesteld dat enkel die gegevens worden verwerkt die nodig zijn voor het bijbehorende doel.

Bedrijven zullen in de toekomst de grootst mogelijke bescherming van de privacy van de gebruiker, die steeds zélf actief moet kiezen om bepaalde data vrij te geven of te delen, voor ogen moeten houden.

Wie in de fout gaat, kan boetes krijgen tot 4% van de jaarlijkse omzet. Met andere woorden voldoende hoog om bedrijven in ernstige financiële moeilijkheden te brengen.

Hoe actie ondernemen?

Aangezien ieder bedrijf te maken zal krijgen met de effecten van de GDPR is het belangrijk dat uw bedrijf hierop is voorbereid. Grotere organisaties en bedrijven die over aanzienlijke databases met persoonsgegevens beschikken, dienen minstens enkele maanden tot een klein jaar te voorzien om zich voor te bereiden.

Alles begint met interne vorming en voorlichting van het betrokken personeel, gevolgd door een gedegen audit om vervolgens op basis daarvan de nodige maatregelen te nemen door procedures en processen aan te passen, de nodige veiligheidsmaatregelen te nemen, contracten aan te passen, interne reglementen en arbeidsreglementen aan te passen en vervolgens ook privacy policies, opt-ins en uitgaande communicatie te gaan aanpassen.

In dat opzicht is het belangrijk te weten dat er mogelijk aanpassingen nodig zijn aan uw infrastructuur om de privacy regels aan te passen conform de GDPR.

Tot slot...

Op dit moment is er nog heel wat onduidelijkheid omtrent de GDPR wetgeving. Veel zaken bevinden zich nog in een ‘grijze zone’. Organi blijft de wetgeving op de voet volgen om u de juiste ondersteuning hierin te kunnen bieden.

Wordt vervolgd dus...

Externe bron: https://www.privacycommission.be/nl/nieuws/algemen...
Alle nieuwsberichten