General Data Protection Regulation

 

Dit is een nieuwe Europese richtlijn die op 25 mei 2018 pas zal toegepast worden. De General Data Protection Regulation of ook wel GDPR genoemd zorgt ervoor dat de privacy van klanten beter wordt beschermd en niet wordt misbruikt. Dit heeft ook invloed op uw bedrijf en dus hebben we hier 10 stappen om goed in orde te zijn met deze richtlijn.

1. Hou uw medewerkers op de hoogte

Uw medewerkers die misschien dagelijks in contact komen met de klanten moeten verwittigd worden over deze nieuwe regels. Zo kan u de gevolgen inschatten en enige veranderingen doen binnen het bedrijf.

 

2. Maak een dataregister

Om uit de problemen te blijven, is de beste optie een dataregister maken. Als er ooit een datalek is, kan het zijn dat u zo’n register moet geven om te tonen dat u de regels gevolgd hebt.

Dus wanneer u bezig bent met data binnen het bedrijf, het verwerken of zien waarom u de data heeft, is het misschien best om het in het register te plaatsen. In een dataregister wordt er een overzicht van de persoonsgegevens die u verwerkt en bepaalt waar ze vandaan komen en wie ze te zien krijgt, gemaakt. Dit moet altijd bijgewerkt worden.

 

3. Onderzoek

U mag persoonlijke data pas verwerken als het noodzakelijk is om de diensten uit te voeren, als het wettelijk verplicht is of als u toestemming heeft. Dit noemt men doelbinding of dataminimalisatie. U moet zelf serieus onderzoeken waarom u data hebt en of u het wel nodig hebt. Persoonlijke data mag u niet voor altijd bijhouden. Gegevens van bijvoorbeeld prospects of cv’s van sollicitanten zullen geen jaren bij u blijven. U zal het moeten kenbaar zoals bijvoorbeeld in een privacyverklaring. Uw overeenkomsten, algemene voorwaarden, bestelbons en privacyverklaringen moeten voldoen aan de nieuwe wetgeving.

4. Controleer de toestemming

Hoe je toestemming vraagt om iemands persoonsgegevens te verwerken, moet volgens de GDPR vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Maar het moet ook blijken uit een actief handelen dus geen toestemming als bijvoorbeeld het afgeleid wordt van een keuzevakje dat is aangevinkt geweest. Niet enkel vragen en verkrijgen maar ook registreren van de toestemming is belangrijk. Het moet controleerbaar zijn en u moet het ook kunnen bewijzen dat het op een correcte manier verkregen is. Voor de gegevens van minderjarigen heeft u natuurlijk specifieke toestemming van een ouder of voogd nodig.

 

5. Praat over privacy

We willen allemaal onze privacy en dat niemand zich ermee moeit. Praat daarom duidelijk over je privacybeleid en zorg er ook voor dat je communicatie over gegevensverwerking scherp staat. De GDPR wilt dat alle informatie die u geeft in een korte, begrijpbare en duidelijke taal wordt weergegeven.

Naast de identiteit van de verwerker van de gegevens en hoe u de gegevens gebruikt, moet u ook de volgende dingen meedelen:

• Waarom mag u deze gegevens verwerken?
• Hoe lang zal u ze bewaren?
• Worden ze vertoond buiten de Europese Unie?
• Hoe kan iemand een klacht indienen bij de Privacycommissie?

 

6. Denk na bij elk nieuw proces of product

De norm die toegepast moet worden van de GDPR is ‘Privacy By Design’.

Dit betekent dat voor het ontwikkelen van producten en diensten zoals websites, aandacht moet gegeven worden aan de privacyverhogende maatregelen (de zogenaamde privacy enhancing technologies (PET)).

Dat kan bijvoorbeeld door het pseudonimiseren (versleutelen) van persoonsgegevens of door de toegangsrechten tot de persoonlijke data te begrenzen. Wanneer u data anonimiseert (anoniem maken), is het niet langer persoonlijke date en is de privacy niet van toepassing. Dat is handig als u Big Data wil verwerken.

Voor het invoeren van nieuwe risicovolle processen zal een ‘Privacy Impact Assessment’ moeten worden uitgevoerd.

 

7. Voorzie een procedure

De rechten die iemand heeft over zijn persoonsgegevens, blijven grotendeels gelijk. Maar als u nog geen proces had om dit in goede banen te leiden of het is nog niet voorzien in uw IT-systemen, dan kan het even werk zijn. Het gaat bijvoorbeeld om:

• Recht op informatie en toegang tot persoonsgegevens;
• Recht op verbetering én verwijdering van gegevens (recht om vergeten te worden);
• Recht op protest tegen direct marketingpraktijken, geautomatiseerde besluitsvorming en profilering;
• Nieuw! Recht op overdraagbaarheid van de gegevens. Iedereen moet zijn persoonsgegevens in een gangbare elektronische vorm kunnen opvragen.

Denk goed na over de procedures (ook op IT-vlak) die uw bedrijf zal volgen om aan dit soort vragen van particulieren te kunnen beantwoorden.

 

8. Maak een data disaster plan

Volgens de GDPR moet u op voorhand bepalen hoe u het zal oplossen als het ooit fout loopt met uw data. Maak dus gepaste procedures die het mogelijk maken datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden waar nodig (bv. aan de Privacycommissie). Grotere bedrijven en organisatiestructuren voorzien bij voorkeur ook een aangepast beleid om datalekken te beheren.

In sommige gevallen zal de betrokkene zelf (wiens data gelekt is) ook ingelicht moet worden.

Het niet voldoen aan deze meldplicht kan bestraft worden met een boete bovenop de boete voor het datalek zelf.

9. Stel een data protection officer (dpo) aan

Ga na of u een ‘Data Protection Officer’ moet aanstellen of niet. Overheden of verwerkers die regelmatig en systematisch privacygegevens op grote schaal observeren, moeten een DPO aanstellen. Dat kan een extern adviseur zijn.

10. Controleer je datastromen naar niet-EU-landen

Als u data verwerkt of doorgeeft buiten de EU (bv. gegevens die op een server in de US staan), zal u moeten nagaan of dat land over eenzelfde soort van privacywetgeving beschikt als in de EU. Slechts een beperkt aantal landen voldoet hieraan. Vaak moeten een aantal garanties met de internationale partijen onder meer contractueel worden geforceerd.

Controleer uw datastromen dus en zorg dat contractueel alles goed zit met deze partijen.

In het algemeen valt aan te raden dat u hiervoor als bedrijf of organisatie hulp zoekt bij een specialist ter zake.