Bent u al GDPR-compliant? U heeft nog even tijd tot 25 mei 2018 om u in orde te stellen.
GDPR? Wat is dat?
GDPR (voluit General Data Protection Regulation) of in het Nederlands Algemene Verordening Gegevensbescherming is een Europese wet die een uniforme en verstevigde bescherming van persoonlijke data tot doel heeft. De wetgeving dient vooral om consumenten te beschermen tegen allerlei malafide praktijken waarbij persoonlijke data wordt gebruikt voor minder koosjere doeleinden als spamming en phishing. De basis van GDPR is relatief eenvoudig uit te leggen in een paar punten:
1. Explicit consent
Heel wat bedrijven sturen de ene spam-mailing na de andere uit naar ontvangers die hiervoor geen expliciete toestemming hebben gegeven. De GDPR maakt hieraan een einde vanaf 25 mei 2018. Er zullen enkel nog marketingmails mogen worden verstuurd naar mensen die ook effectief hebben aangegeven dat ze die communicatie van u willen ontvangen, dit via een expliciete opt-in. Zonder ‘opt-in’ mogen geen marketingmails meer verstuurd worden.
2. Right to be forgotten
Consumenten of gebruikers kunnen op ieder moment van uw bedrijf eisen om ‘vergeten’ te worden. Dat betekent: de persoonlijke data van uw consument verwijderen uit uw databases of analysesystemen. Wanneer u als verwerker die data heeft doorgegeven aan andere partijen, zoals aan standhouders op een event of aan softwareleveranciers, dan blijft het uw verantwoordelijkheid om ervoor te zorgen dat hun data ook daar wordt verwijderd.
3. Documentatieplicht
Eenvoudig gesteld betekent documentatieplicht dat u moet bijhouden waar en hoe u de aanwezige persoonsgegevens hebt verzameld en wat u ermee doet. De oorsprong en het doel van uw data moeten daarin op elk moment terug te vinden zijn, zodat u bij een eventuele controle of een dispuut steeds kan aantonen waar u de data (legaal) vandaan heeft gehaald. Data waarvan u de oorsprong niet meer weet, moeten dan ook verwijderd worden.
4. Actieplan voor melding bij gegevensverlies
Een van de vereisten van GDPR is dat u de verzamelde data goed en veilig beheert. Dat betekent afschermen tegen toegang door onbevoegden en beschermen tegen diefstal, misbruik en vernietiging. Ondanks alles toch het slachtoffer van een datalek? Dan bent u verplicht om dit binnen de 72 uur te melden bij de Privacycommissie en aan de gebruikers zelf. Uitstekende procedures en gedetailleerde processen die rekening houden met worst case scenario’s zijn dan vereist. Want een datalek zit heel vaak in een klein (personeels)hoekje.
5. Documentering van automatische profilering
Maakt u gebruik van remarketing of marketing automation? Dan is de kans groot dat u aan automatische ‘profiling’ doet: het invullen van een bepaald profiel op basis van gelijkaardige kenmerken met andere leden van de doelgroep of op basis van bezoekersgedrag. Mag nog steeds, maar u moet het duidelijk melden in uw privacy policy.
Is GDPR van toepassing op mijn bedrijf?
Wellicht wel. Als uw werkgever of uw bedrijf persoonsgegevens van EU-burgers verwerkt, dan is GDPR van toepassing op dat bedrijf. Concreet betekent het dat elk bedrijf dat data verzamelt die gekoppeld kan worden aan privé-gegevens als naam of mailadres gebonden is aan GDPR. Die privé-gegevens zijn onder meer expliciete data als de voornoemde naam of email, maar ook zaken als IP-adressen, social media accounts of user accounts om te registreren op een website. Ook niet-Europese bedrijven die gegevens van EU-inwoners verwerken, moeten zich houden aan deze regels.
Wat is een DPO en heb ik er een nodig?
Een DPO of Data Protection Officer is een data expert die voortdurend toezicht houdt op de naleving en implementatie van GDPR binnen een bedrijf. Zo is hij of zij mee verantwoordelijk voor het uittekenen van escalatieplannen en van het huisvaderlijk omspringen met data. Oorspronkelijk werd gezegd dat alle bedrijven van meer dan 250 werknemers zo’n DPO moesten aannemen (al dan niet op freelance basis), maar momenteel gaat het vooral over:
- Overheidsinstanties
- Bedrijven die hoofdzakelijk belast zijn met de verwerking van bijzondere categorieën van gegevens, zoals ras, politieke voorkeur, religieuze overtuiging of gegevens over strafrechtelijke feiten.
- Bedrijven die hoofdzakelijk belast zijn met gegevensverwerkingen die regelmatige en stelselmatige observatie op grote schaal eisen en dat zelfs al heeft u minder dan 250 werknemers.
Wanneer moet ik ten laatste in orde zijn met GDPR en wat zijn de mogelijke gevolgen als dat niet het geval is?
De nieuwe wetgeving rond GDPR wordt actief op 25 mei 2018. Nog geen man overboord als u er nog niet mee bezig bent, maar wel hoog tijd om te starten met de voorbereiding. Bedrijven die op die datum niet in orde zijn met GDPR en worden aangeklaagd door een gebruiker, kunnen boetes krijgen die kunnen oplopen to 4% van de wereldwijde omzet, met een maximum van 20 miljoen euro.
Hoe lang mag ik data dan eigenlijk bijhouden?
Niet langer dan nodig. Er wordt van bedrijven verwacht dat ze verantwoord omgaan met data van klanten en leads en enkel bijhouden wat relevant is, zolang het relevant is. Iemand die 3 jaar geleden al heeft aangegeven niet met uw bedrijf te willen werken en verder ook geen enkele indicatie geeft van het tegendeel, hoeft niet met alle mogelijke details in uw database te blijven. Het bedrijf moet net voldoende informatie over het individu behouden om ervoor te zorgen dat het deze kan verwijderen uit de marketinglijsten als die persoon daar om vraagt.
Moet ik mensen op de hoogte houden van die dataverzameling?
Absoluut. Een degelijke privacy policy met een verplichte melding van gebruikte cookies en andere manieren om data te verzamelen, gecombineerd met uitleg en redenen waarom die data wordt verzameld en wat er vervolgens mee gebeurt, is dan ook verplicht.
Mag ik gelijk welke data verzamelen?
In principe niet meer. De GDPR voorziet in het verzamelen van enkel die data die relevant zijn voor uw bedrijf of actie. In de praktijk betekent dit dat elke onderneming die een product of dienst wil promoten, ervoor moet zorgen dat enkel de strict noodzakelijke data wordt gevraagd. Het verzamelen van een telefoonnummer, e-mailadres of functietitel is algemeen aanvaard, maar onderwerpen als leeftijd, bedrijfsomzet of lichaamsafmetingen kunnen als irrelevant en overbodig beschouwd worden.
Meer info over GDPR kan u o.a. terugvinden op de website van Unizo : www.unizo.be/gdpr (op deze portaalpagina kan u meer info, checklist, modellen, een filmpje en infosessies die door Unizo op korte termijn worden georganiseerd terugvinden; let op : bepaalde documenten zijn enkel voor Unizo-leden toegankelijk).