GDPR of General Data Protection Regulation zal vanaf 25 mei 2018 de Data Protection Directive 95/46/ec vervangen. De nieuwe wet wil ervoor zorgen dat bedrijven een goede bescherming garanderen van de persoonlijke data van alle burgers van de Europese Unie. Het doel is om specifieke, uniforme privacy-regels te creëeren die voor samenhang zorgen in alle EU landen. Hierdoor hoeven de aparte lidstaten niet langer hun eigen privacy-wetten te schrijven.
Deze blogpost geeft je een beter inzicht in de verwerking van persoonlijke data van klanten, prospecten, fans en lovers van jouw merk en/of bedrijf. Als je als bedrijf er niet in slaagt om aan de wetgeving rond de verwerking van persoonlijke data te voldoen, dan riskeer je vanaf 25 mei een boete tot 4% van de globale omzet van je bedrijf gebaseerd op het vorige financiële jaar of een boete tot €20 miljoen, waarbij er steeds wordt gekozen voor het hoogste bedrag.
Je vraagt je waarschijnlijk af wat de belangrijkste GDPR vereisten zijn:
- Toestemming van website-bezoekers voor gegevensverwerking;
- Anonimisering van verzamelde gegevens om een goede privacybescherming mogelijk te maken;
- Garantie van de veiligheid van gegevens in het proces van datatransfers buiten de grenzen van de EU;
- Maak een plan om data-inbreuk te herkenen en te melden;
- Duidt een verantwoordelijke voor databescherming aan (DPO – Data Protection Officer) die de GDPR-nakoming opvolgt
Is de GDPR-wetgeving van toepassing op jouw bedrijf?
Waarschijnlijk wel. Elk bedrijf dat data bijhoudt van klanten en prospecten valt onder deze wetgeving, ongeacht de locatie van het bedrijf.
De wetgeving is van toepassing op gegevensbeheerders, -verwerkers of -betrokkenen gevestigd in de Europese Unie. De wetgeving is ook van toepassing op bedrijven buiten de EU die gegevens verzamelen van inwoners van de EU.
Volgens de Europese Commissie is persoonlijke data alles wat refereert naar de Europese inwoners op persoonlijk en professioneel vlak.
Bijvoorbeeld: een e-mailadres, IP-adres, een foto, social media post, medische info,… Al deze gegevens moeten beschermd worden volgens de nieuwe wetgeving.
Alle lidstaten van de Europese Unie zijn verplicht om een onafhankelijke autoriteit op te richten die bestaande GDPR gerelateerde klachten onderzoeken, bedrijven controleren in verband met de GDPR-regulatie en ze te bestraffen bij eventuele strafbare feiten. Elke lidstaat zal samenwerken met de andere lidstaten om onderzoek en controle te vergemakkelijken buiten de eigen landsgrenzen.
Wat zijn de sancties voor bedrijven die niet voldoen aan de nieuwe eisen?
Op dit moment heeft de Data Protection Directive geen strikte straffen voor wie de wetten niet naleeft. GDPR zal enkele interessante veranderingen aanbrengen wat betreft boetes voor bedrijven die niet voldoen aan deze nieuwe wetten.
De onafhankelijke autoriteiten zullen meer rechtsbevoegdheid hebben dan met de vorige wetten omdat ze een standaard opleggen in de hele Europese Unie
De opgerichte onafhankelijke autoriteiten zullen controles uitvoeren en naast een waarschuwing ook aanbevelingen geven zodat je weet welke stappen je moet ondernemen om te voldoen aan de GDPR-vereisten. Daarnaast kunnen ze ook deadlines voor de eventuele verbeteringen opleggen en zelfs bedrijven verhinderen data over te brengen naar verschillende landen. In het geval dat bedrijven zich niet aanpassen naar de nieuwe wetgeving die van kracht gaat op 25 mei 2018 riskeren ze een boete.
Dit is de meeste recente lijst met mogelijke sancties:
- Waarschuwing bij niet-opzettelijke fouten of eerste gemelde inbreuken;
- Volledige gegevensbeveiliging audit;
- Boetes tot 10.000.000 euro of tot 2% van de globale omzet in het geval van inbreuk op Art. 84, Paragraph 4.
- Boetes tot 20.000.000 euro of tot 4% van de globale omzet in het geval van inbreuk op Art. 83, Paragraph 5,6.
Vereisten van de GDPR
De General Data Protection Regulation bestaat uit 11 hoofdstukken met 91 artikelen. Hieronder kan je een lijst vinden met de belangrijkste bepalingen die een impact zullen hebben op de beveiligingsacties van jouw bedrijf.
Transparant beleid – gegevens bewerkers moeten:
- Informeren dat ze gegevens verzamelen;
- Uitleggen in verstaanbare taal wat de doeleinden zijn van het verzamelen van deze gegevens;
- Het beleid definiëren voor de bewaring en verwijdering van gegevens.
Persoonlijke privacy – gebruikers hebben het recht om:
- Toegang te hebben tot hun persoonlijke gegevens;
- Hun persoonlijke gegevens te verwijderen;
- Fouten te corrigeren in hun persoonlijke gegevens;
- Het exporteren van hun persoonlijke gegevens;
- Bezwaar hebben tegen het verwerken van hun persoonlijke gegevens.
Controle en meldingen – verwerkers moeten:
- Alle verzamelde gegevens beschermen met de nodige beveiligingsmaatregelen;
- De privacy commissie inlichten in het geval van een inbreuk op deze gegevens;
- Een duidelijk overzicht hebben van de structuur van de gegevensverwerking;
- De toestemming ontvangen van personen voor ze de gegevens van deze persoon opslaan.
IT en training van medewerkers –verwerkers moeten:
- Een DPO aanduiden;
- Verwerkingscontracten aanmaken en beheren;
- Hun medewerkers trainen zodat iedereen op de hoogte is van de wetgeving;
- Regelmatig een audit uitvoeren en hun interne gegevensrichtlijnen aanpassen indien nodig.
Wat moet ik nu eigenlijk weten over de toestemming die klanten moeten geven?
Hieronder een opsomming van de aanpassingen die je intern zal moeten doorvoeren om gegevens te verzamelen van website-bezoekers, e-mail inschrijvers, nieuwsbriefontvangers, ingevulde contactformulieren, etc.
- De toestemming voor de bewaring van gegevens moet apart weergegeven worden en kan geen onderdeel zijn van de verkoopsvoorwaarden
- Je mag geen vooraf aangevinkte vakjes gebruiken zodat personen sneller hun toestemming kunnen geven
- Het mag niet verplicht zijn om in te stemmen om gebruik te kunnen maken van een dienst
- Gebruik verschillende aanvinkvelden voor verschillende GDPR onderwerpen
- Je moet een overzicht bijhouden van wanneer en hoe een persoon toestemming gaf om persoonlijke gegevens te gebruiken
- Het moet makkelijk zijn voor een persoon om zijn toestemming op elk moment in te trekken
- Je moet de naam van je organisatie en die van derden (die ook de gegevens verwerken of beheren) vermelden voor iemand zijn toestemming geeft
- Je moet duidelijk maken waarom je bepaalde persoonlijke data verzamelt en wat je er mee zal doen
Kan de GDPR ook iets goeds doen voor mijn bedrijf?
Bij Baldwin zijn we er van overtuigd dat de voordelen van de GDPR de investering zeker waard zijn.
Het bouwt aan je goede reputatie
Cybersecurity moet steeds een hoge prioriteit hebben voor bedrijven en klanten. Het risico op gegevensinbreuken is niet echt een verkoopspunt voor jouw bedrijf. Een duidelijk privacy-beleid zal je reputatie boosten en vertrouwen opwekken bij huidige en potentiële klanten.
Het zorgt voor loyaliteit van je klanten
Een duidelijk en veilig databeleid zal bestaande klanten loyaler maken en hen gelukkige ambassadeurs maken van jouw bedrijf en producten.
Je zal betere data verzamelen
GDPR geeft klanten het recht hun data te bekijken en aan te passen als ze dat willen. Hierdoor zal de kwaliteit van de verzamelde data verbeteren.
Conclusie
De General Data Protection Regulation hoeft jou geen slapeloze nachten te bezorgen.
Ja, het zal een zekere investering vragen en er zal een heleboel veranderen in de manier hoe je omgaat met persoonlijke gegevens, maar het zal de moeite waard zijn. Uiteindelijk brengt het nieuwe beleid verschillende voordelen voor zowel de klanten als voor jouw bedrijf.
Bron: http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
Meer informatie nodig? Aarzel niet om ons vragen te stellen!
