Waarover gaat het juist?

Wat is GDPR?

De General Data Protection Regulation is een Europese wet die dient om de databescherming te uniformiseren en te verstevigen voor individuen in de Europese Unie.  Ook niet-Europese bedrijven die klanten hebben in Europa moeten zich eraan houden. In feite is het een actualisering van de privacywetgeving van 1995, maar toen leefden we in een andere wereld.

De wetgeving dient dus vooral om consumenten te beschermen. Maar tegelijk ben je als bedrijf ook geruster als je weet dat je de nodige voorzorgsmaatregelen hebt genomen. Want als je niet in orde bent en een consument (of een groep consumenten) brengt het tot een rechtszaak, dan kan het tot een monsterboete komen: 4% van de wereldwijde omzet, geplafonneerd tot 20 miljoen euro.

De nieuwe wetgeving gaat in voege vanaf 25 mei 2018, dus je hebt nog wel even de tijd om alles in orde te brengen. Houd er echter rekening mee dat je misschien ook developers en juridisch adviseurs een aantal zaken op orde moeten krijgen, zodat je best nu actie onderneemt.

Hoe worden consumenten beschermd?

Je moet bewust je toestemming verlenen om persoonlijke gegevens te laten gebruiken. Dat betekent dat je bij het achterlaten van je persoonlijke gegevens zelf moet aanvinken (opt-in) dat je gegevens gebruikt worden en dat je ook begrijpt waarvoor.

Onbewust een gebruikersprofiel opbouwen en daar retargeting-technieken op loslaten, wordt daardoor onmogelijk. De klant consument moet het vooraf zelf aangegeven hebben dat hij ervoor open staat. Nieuwe uitdagingen voor online marketeers!

Consumenten hebben bovendien het recht om vergeten te worden. Vraag iemand om uit een database geschrapt te worden, dan moet daaraan voldaan worden.

Wie moet zich voorbereiden?

Ieder bedrijf dat persoonsgegevens verzamelt, moet zich aan de wetgeving houden. Ook het bedrijf dat whitepapers laat downloaden op zijn website, of de winkelier die een klantenkaart aanbiedt en klantgegevens bijhoudt.

De gebruiksvoorwaarden en privacybescherming moeten ondubbelzinnig en begrijpbaar opgesteld worden. Snap je zelf wel wat er allemaal instaat?

Bedrijven die meer dan 250 medewerkers te werk stellen, moeten ook een Data Protection Officeraanstellen. Dit kan ook een externe kracht zijn. Hij moet onder andere door middel van een audit in kaart brengen welke persoonsgegevens bewaard worden, hoelang die bewaard blijven, hoe die beschermd worden en wat ermee gedaan wordt. Ook als het misloopt, moet er een plan van aanpak klaarliggen.

Klaar voor GDPR in 9 stappen

1. Snelste optie: neem een GDPR-consultant onder de arm die het onderstaande voor zijn rekening neemt.
2. Lijst op waar en hoe je persoonsgegevens verzamelt.
3. Leg vast wat je met die persoonsgegevens doet.
4. Zorg ervoor dat je toestemming hebt om die gegevens te gebruiken. Je moet een opt-in krijgen op al die onderdelen, ook voor bestaande contacten.
5. Herschrijf de privacy statement en gebruiksvoorwaarden in mensentaal.
6. Stel procedures op als iemand zijn gegevens wil inkijken, aanpassen of laten verwijderen.
7. Controleer dat alles nog werkt als je voor bepaalde persoonsgegevens geen goedkeuring meer hebt om die te gebruiken.
8. Zorg voor een goede bescherming van data (firewalls, wachtwoorden, …)
9. Stel een actieplan op voor als het foutloopt. Je bent sowieso verplicht om een datalek binnen 72 uur te melden.

De voornaamste vernieuwingen in de GDPR draaien rond vier pijlers:

1. Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.

2. Data-overdracht: Burgers zullen hun gegevens kunnen overdragenvan de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen.

3. Recht om vergeten te worden: Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden – ook als de data inmiddels gedeeld is met derde partijen.

4. Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

Om die regels na te leven, moeten bedrijven exact weten waar ze persoonsgegevens verzamelen, en hoe deze beschermd en verwerkt worden. Daarom is het voor bepaalde bedrijven aangeraden om een data protection officer aan te nemen; iemand die instaat voor de handhaving van de GDPR binnen het bedrijf.

Wat zijn de voordelen?

De GDPR kan rekenen op heel wat kritiek, maar uiteindelijk zijn er ook voordelen aan verbonden. De eenmaking van een versnipperd legaal raamwerk bijvoorbeeld. Dankzij de uiteenlopende interpretatie van de vorige wetgeving, moesten bedrijven voorheen rekening houden met 28 verschillende raamwerken rond databescherming. Binnenkort zorgt de GDPR voor één legaal kader dat in heel Europa geldt. Zo wordt het gemakkelijker voor kmo’s om de activiteiten in het buitenland uit te breiden, aangezien ze geen rekening moeten houden met een andere wetgeving.

Bovendien kan de GDPR bedrijven op die manier collectief zo’n 2,3 miljard euro per jaar kunnen besparen; geld dat normaal naar advocaten en consultants zou gaan om wijs te geraken uit de verschillende wetgevingen.

Wat gebeurt er als de GDPR niet wordt nageleefd?

Bedrijven die aan de GDPR verzuimen, kunnen zware repercussies verwachten. Zo wordt er in de GDPR gewag gemaakt van verschillende boetes. Wanneer de verzamelde data niet correct wordt beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet, met een maximum van 20 miljoen euro.