GDPR – CDI-Partners helpt uw bedrijf zich in regel te stellen2018-08-03T15:40:14+01:00

GDPR
GENERAL DATA PROTECTION REGULATION

In het Nederlands: AVG, Algemene Verordening Gegevensbescherming

In België bestaat de Privacywetgeving al langer, maar deze wordt gevoelig uitgebreid en verstrengd.

GDPR is een Europese verordening, wat betekent dat die niet moet worden omgezet in nationale wetgeving. De verordening werd reeds van kracht op 24 mei 2016, bedrijven en organisaties krijgen tot 25 mei 2018 om zich in regel te stellen. De maximumboetes op inbreuken zijn enorm, tot 20 miljoen Euro of 4% van de wereldwijde omzet indien dit hoger ligt.

Basisprincipes van GDPR

De basisgedachte van GDPR is het recht op privacy van individuele personen. Ook voor bedrijven die niet met particuliere klanten werken, is voorzichtigheid geboden, want ook medewerkers zijn individuele personen.

Rechtmatige, behoorlijke en transparante verwerking

Enkel die gegevens die een bedrijf nodig heeft om een dienst te leveren, mogen worden opgevraagd en bijgehouden. Voor andere gegevens is een aparte bijkomende toestemming noodzakelijk. Het wordt eveneens verplicht te melden waarvoor deze gegevens zullen worden gebruikt. Individuen hebben inzage- en correctierecht en het recht om te worden vergeten. Voor gevoelige informatie zijn de richtlijnen en procedures nog strenger, dat geldt ook voor informatie over kinderen.

Integriteit en vertrouwelijkheid

Een bedrijf moet de opgeslagen gegevens adequaat beschermen en indien deze gegevens worden gestolen, bijvoorbeeld door hacking, is het verplicht deze diefstal te melden. Minstens aan de autoriteiten en in bepaalde gevallen ook aan de betrokken personen waarvan de gegevens werden ontvreemd. Dit vraagt een enorme mentaliteitsverandering. In België worden er nauwelijks datalekken gemeld. In het Verenigd Koninkrijk, waar al langer lokale wetgeving bestaat die dit afdwingt, komen er meer meldingen binnen op één uur dan in België op een heel jaar. Het gaat niet enkel om centrale bestanden. Denk ook aan alle gegevens in Excel-sheets of in gedrukte lijstjes en papieren archieven. Ook deze moeten adequaat worden beschermd.

Onderscheid verwerkingsverantwoordelijke en verwerker

Als een bedrijf (verwerkingsverantwoordelijke) zijn gegevens laat beheren door een onderaannemer (verwerker), denk aan een webwinkel die gehost wordt bij een leverancier, zijn beiden verantwoordelijk voor het beheer van de gegevens. Het is belangrijk bestaande contracten aan te passen met de nodige GDPR-clausules.

Data Protection Officer (DPO)

In een aantal gevallen is het aanstellen van een DPO verplicht, in andere gevallen wordt dit sterk aanbevolen. De DPO is een onafhankelijke functie die de naleving van GDPR opvolgt en als aanspreekpunt dient voor de toezichthouder.

Enkele concrete voorbeelden

Een boekenwinkel heeft een webshop. Om een account aan te maken, vragen ze naast naam en adres, ook het geslacht en de geboortedatum. In de toepassing staan deze velden verplicht. Je kan de bestelling dus niet plaatsen zonder deze gegevens in te geven.

Dit is niet meer toegelaten. Er is geen reden te bedenken waarom geslacht en geboortedatum nodig zijn om een boek te kopen. Wil je deze gegevens toch vragen, moeten ze optioneel zijn, moet er expliciet toestemming voor worden gevraagd aan de klant en moet het duidelijk zijn wat er met deze gegevens zal gebeuren. De klant moet op elk moment zijn toestemming kunnen intrekken.

Voor een levensverzekering die online wordt verkocht, mogen deze gegevens wel verplicht worden gezet. De premie is immers afhankelijk van leeftijd en geslacht.

Wil de maatschappij deze gegevens gebruiken om een gepersonaliseerde verjaardagskaart te sturen, moet hier apart expliciet toestemming voor worden gevraagd.

Een bedrijf vraagt aan een sollicitant een CV door te sturen voor een specifieke vacature. Als de kandidaat niet werd weerhouden, dan moet het CV worden verwijderd. Er werd in het voorbeeld immers enkel toestemming gevraagd voor de functie in kwestie. Verwijderen is overigens eenvoudiger gezegd dan gedaan. Het CV werd wellicht bezorgd aan een leidinggevende, die dit misschien wel op een USB-stick heeft gezet en een printje gemaakt. En wat met de mailserver en back-ups?

Een persoon heeft zich ingeschreven voor een nieuwsbrief en erin toegestemd dat zijn gegevens gedeeld worden met een derde partij. Als de persoon zich uitschrijft moet ook de derde partij worden ingelicht dat er geen toestemming meer is om de gegevens te gebruiken.

Een bedrijfslaptop werd vergeten op de trein of gestolen. Dit wordt in regel beschouwd als een inbreuk in verband met persoonsgegevens en moet gemeld worden aan de toezichthoudende autoriteit.

Actieplan

Om in orde te zijn met GDPR is de eerste stap een analyse van welke persoonsgegevens waar in het bedrijf worden gebruikt en beheerd. In sommige gevallen zijn er maar een beperkt aantal gegevens en worden ze nu reeds goed beschermd. Dan is er meer dan voldoende tijd om in orde te geraken met GDPR. Zo niet, wordt het dringend tijd een actieplan op te stellen.

CDI-Partners helpt grote en kleine bedrijven om zich in orde te stellen met GDPR. Wij helpen u met een eerste analyse en het opmaken van een actieplan. Contacteer ons voor een vrijblijvende afspraak.

Gerelateerde artikels

1210, 2017

GDPR requires a no-blame culture

GDPR REQUIRES A NO-BLAME CULTURE It always strikes me that when I talk to business leaders about GDPR, they think data breaches have to do with hacking and sending mailings to people without [...]

210, 2017

CDI-Partners’ approach to GDPR compliancy

OUR APPROACH TO GDPR COMPLIANCY In four steps towards GDPR compliancy: Together with CDI-Partners Assess what GDPR risks apply to your company Analyse the underlying issues Determine the goals to achieve to be [...]

1306, 2017

9 redenen waarom uw bedrijf GDPR overleeft!

9 REDENEN WAAROM UW BEDRIJF GDPR OVERLEEFT! Wat is GDPR GDPR staat voor General Data Protection Regulation. GDPR is een Europese verordening, wat betekent dat die niet moet worden omgezet in nationale wetgeving. [...]

Contacteer ons

    Go to Top