Vanaf mei 2018 treedt de GDPR in werking, de nieuwe privacy wetgeving van de Europese Unie. Hoor je het in Keulen donderen? Geen nood. Baldwin vroeg tekst en uitleg aan een expert ter zake, het Gentse legal agency deJuristen.

Baldwin e-commerce, wat is GDPR

 

Voor wie geldt de GDPR?

Je vraagt je hoogstwaarschijnlijk af of de GDPR (General Data Protection Regulation) ook voor jou geldt. Als de huidige privacywetgeving al van toepassing is op jouw onderneming – dus als je persoonsgegevens verwerkt – dan mag je er van uitgaan dat de nieuwe Europese Verordening ook op jouw onderneming van toepassing is. Weet je dit niet zeker? Dan stel je aan jezelf de volgende vraag: verwerkt mijn onderneming persoonsgegevens van EU-burgers?

Alvorens je daarop kan antwoorden, moet je weten wat persoonsgegevens zijn. Dat begrip is heel ruim. Het gaat hier niet enkel om gegevens, die de klant onmiddellijk kunnen identificeren (zoals een e-mailadres), maar ook om gegevens die personen indirect kunnen identificeren (zoals locatiegegevens). Als jouw onderneming cookies verzamelt of IP-adressen, dan let je beter op bij het lezen van deze tekst, want ook jij valt onder de GDPR.

Het maakt tegenwoordig (lees: vanaf mei 2018) ook niet meer uit of de verwerking van de gegevens binnen of buiten de EU gebeurt. Zodra je persoonsgegevens van EU-burgers verwerkt of je richt jouw dienstverlening naar de EU, val je onder de GDPR.

“Oké, ik val dus onder de GDPR. Waarmee moet ik nu rekening houden?”  Wel, er zijn een aantal nieuwe principes opgenomen in de GDPR, waarvan we er een paar toelichten:

Transparantie

Ondernemingen moeten vanaf 2018 een meer transparant privacybeleid hebben. Dit betekent dat jouw onderneming moet kunnen aantonen hoe ze de persoonsgegevens verzamelen en wat je ermee zal doen. De beste manier om dit te doen is via een degelijke privacyverklaring. Deze bevat bij voorkeur volgende informatie:

  • identiteit van de verwerker
  • doel van de verwerking
  • welke gegevens verwerkt worden
  • de rechten van de persoon wiens gegevens verwerkt worden (bijvoorbeeld recht op inzage en recht op vergetelheid).

Om hier een duidelijk overzicht te bewaren, is het aangeraden (en soms verplicht) om een register van verwerkingsactiviteiten bij te houden. Op die manier kan je bij controle aantonen dat jouw onderneming alle persoonsgegevens organiseert en documenteert.

Privacy by design en privacy by default. Qué?

Deze twee principes worden nu ook wettelijk verankerd. Dit betekent dat de standaardinstellingen van jouw website, applicatie of dergelijke de grootste mate van privacy moeten bieden. In het design hiervan moet privacy een essentieel onderdeel vormen. Wil de gebruiker meer prijsgeven, dan kiest hij dat zelf. Dit betekent een minimum (lees: enkel het noodzakelijke) van gegevens opvragen en werken met versleuteling, anonimisering of pseudonimisering van de persoonsgegevens.

Melding van een datalek

Stel dat je na alle voorzorgsmaatregelen toch nog een datalek hebt in jouw onderneming. Wat dan? Vooral niet panikeren! Niemand kan er immers voor zorgen dat je 100% beveiligd bent. Een lek is altijd mogelijk. Zorg er wel voor dat jouw onderneming een actieplan heeft in zo’n geval. Met de GDPR ben je als onderneming verplicht om het datalek, indien het een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, te melden aan de Privacy Commissie binnen de 72 uur. Wanneer het datalek een grote impact kan hebben op het privéleven van een natuurlijke persoon, moet die persoon zo snel mogelijk en op een duidelijke manier persoonlijk ingelicht worden over het datalek.

Doorgifte van gegevens aan andere ondernemingen

Sharing is caring, right? Niet wat persoonsgegevens betreft. Wil je toch met een andere onderneming de persoonsgegevens delen, dan ben je vanaf mei 2018 verplicht om een verwerkersovereenkomst af te sluiten met deze onderneming. In zo’n overeenkomst maak je afspraken over de duur, doeleinden en andere voorwaarden van de verwerking. Vergeet niet om na te gaan of deze onderneming een adequaat beschermingsniveau heeft. Vraag vooral naar hun privacybeleid en of zij wel GDPR-compliant zijn. Zit je verwerker buiten de EU? Controleer dan even de ‘white list’ van de Europese Commissie om te zien of het veilig is.

Boetes

Ben je tegen mei 2018 niet in orde, dan riskeer je fikse boetes. De geldboete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet. Panikeer opnieuw niet, de hoge boetes zijn vooral bedoeld als afschrikmiddel, in het bijzonder voor de grote ondernemingen. De GDPR is vooral een ‘best effort’. Zorg er gewoon voor dat je transparant en eerlijk bent tegen je ‘data subject’ en dat je de nodige technische en organisatorische maatregelen neemt.

“Oké, zo erg lijkt dat allemaal niet toch?”  Nee, helemaal niet. Er wordt veel paniek gezaaid rond de GDPR, maar eigenlijk valt het best nog mee. De grootste verandering is dat je nu zelf moet instaan voor het waarborgen van de bescherming van gegevens.

Maar geen nood, er is hulp! De Juristen kunnen je bijvoorbeeld GDPR-proof maken via hun GDPR-compliance-track. Wil je hier meer informatie over of wil je een diepgaandere kennis over privacy en de GDPR, kom dan zeker langs op De Privacyproef op 1 juni in de Ghelamco-arena in Gent. Met de code BALDWIN20 krijg je bovendien 20% korting op je toegangsticket. Tot dan!

Deze bijdrage kwam tot stand in samenwerking met deJuristen Gent.

Laten we samenwerken

Wil je een nieuw project opstarten of ben je het aan het overwegen? Vertel ons erover. Hoe meer we erover weten, hoe beter we onze eerste kennismaking kunnen voorbereiden. Want we komen graag voorbereid. Altijd. Vul dus het project formulier in en we contacteren je asap voor een afspraak.

Een offerte aanvragen