General Data Protection Regulation

De General Data Protection Regulation: bescherming van persoonsgegevens

Om de snel en continu veranderende digitale economie extra slagkracht te geven, versterkt de Europese Unie haar focus op de bescherming van persoonlijke informatie van consumenten. Vanaf de lente in 2018 wordt de wetgeving uitgebreid met de General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG). Dit heeft ook voor jouw onderneming aanzienlijke gevolgen, maar geeft je organisatie ook de kans om zich te differentiëren van andere spelers op de markt.


In dit artikel lees je:

  • Op wie de nieuwe regelgeving betrekking heeft en wanneer ze in werking treedt
  • Wat de gevolgen zijn voor je klanten
  • Welke voorbereidingen je het best treft voor je onderneming

— Wat, voor wie en wanneer?

De nieuwe regulering ter bevordering van de veiligheid van data heeft betrekking op elke onderneming die in het bezit is van persoonlijke gegevens van Europese inwoners. Naast ondernemingen met een hoofdzetel in Europa moet dus ook elke niet-Europese organisatie, die over persoonlijke data van een EU-burger beschikt, aan de regulering voldoen.

Onder persoonlijke informatie verstaan we niet alleen woonplaatsen, e-mailadressen of IP-adressen, maar onder andere ook medische informatie en betalingsgegevens. Jouw onderneming beschikt dus hoogstwaarschijnlijk ook over een bepaalde vorm van persoonlijke klantgegevens.

De GDPR is al sinds mei 2016 in werking, maar organisaties krijgen nog tot 25 mei 2018 de tijd om te voldoen aan de aangepaste regelgeving. Bedrijven die vanaf dan nog steeds niet aan de voorwaarden voldoen, riskeren torenhoge boetes. Deze kunnen oplopen tot 20 miljoen euro of 4% van de omzet uit het voorgaande boekjaar.

— Wat zijn de gevolgen voor de consument?

Dankzij de Europese wetgeving mag persoonlijke informatie enkel verzameld worden onder strenge voorwaarden en in functie van een relevant doel. Uiteraard is het enerzijds de verantwoordelijkheid van jouw IT-afdeling om de data op je systemen te beschermen tegen lekken en diefstal. Anderzijds mogen marketeers de beschikbare informatie niet misbruiken.

Bovendien verleent de General Data Protection Regulation vanaf 2018 bijkomende rechten aan de consument:

 

1. Uitdrukkelijke toestemming:
Een consument moet met een actieve handeling instemmen om persoonlijke gegevens te laten verwerken. De betrokkene moet dus expliciet een vakje aanvinken of bepaalde instellingen selecteren.
 

2. Eenvoudige toegang:
De consument moet te allen tijde een eenvoudig zicht hebben op de persoonlijke gegevens die opgeslagen en verwerkt worden.
 

3. Het recht om vergeten te worden:
Indien aan bepaalde voorwaarden is voldaan, kan een consument eisen dat zijn of haar verwerkte gegevens verwijderd worden.
 

4. Dataportabiliteit:
Hierdoor moet het voor consumenten eenvoudiger worden om over te stappen naar een andere dienstverlener. De vroegere partij moet daarbij een kopie van de verwerkte persoonlijke gegevens verstrekken. Deze kopie moet bovendien gestructureerd en voor niet-specialisten begrijpbaar zijn.

— Hoe bereid ik me voor als bedrijf?

Online informatie en kennis verzamelen en delen, is niet meer weg te denken in de digitale bedrijfsomgeving van vandaag. Daar tegenover nemen cyberaanvallen in aantal, omvang en complexiteit sterk toe. Een goed privacy- en beveiligingsbeleid van je klantgegevens is dus aangewezen, zeker na de publicatie van de GDPR. Om monsterboetes en gezichtsverlies te vermijden, tref je als onderneming dus best de volgende voorbereidingen.

 

1. Breng de informatie in kaart:
Zorg voor een overzicht van alle persoonsgegevens waarover je beschikt en ga na waar deze informatie vandaan komt en met wie het gedeeld wordt. Een duidelijk beeld van de interne en externe stroom aan informatie wordt dus nog belangrijker.
 

2. Beschik over een wettelijke grondslag:
Vanaf nu moet je als onderneming kunnen bewijzen waarom je bepaalde persoonsgegevens verzamelt. Zorg dus voor een juiste wettelijke motivatie, gerechtvaardigd bedrijfsbelang of uitdrukkelijke en vrijwillige toestemming door de consument. Nogmaals, het is dus heel belangrijk dat de consument expliciet instemt met het delen en verwerken van zijn persoonlijke informatie.
 

3. Update je privacy-beleid:
Na het invoeren van de GDPR moeten de privacy-verklaringen van je onderneming gedetailleerder en in toegankelijkere taal beschreven worden.
 

4. Handel snel en correct bij datalekken:
Stel een procedure op waardoor je datalekken in de organisatie snel kan opvangen. Bovendien moeten lekken binnen een periode van enkele dagen gemeld worden aan de Autoriteit Persoonsgegevens.
 

5. Neem een ‘Data Protection Officer’ in dienst:
Ondernemingen die als dagelijkse activiteit persoonlijke gegevens verwerken en analyseren, zullen verplicht worden om een Data Protection Officer in te huren.
 

6. Kies voor ‘Privacy-by-Design’:
Sinds de publicatie van de GDPR wordt privacy-by-design verplicht bij het verwerken van persoonsgegevens. Dit betekent dat ondernemingen al bij het ontwikkelen van producten of diensten rekening moeten houden met het beschermen van gegevens. Daarbij is het aangewezen om voor de ontwikkeling van online platformen beroep te doen op een betrouwbare partij en waterdichte technologie.

 

Wens jij je klanten ook de zekerheid te bieden op vlak van privacy en veilig dataverkeer? Ben je op zoek naar een e-business partner die continu met jou meedenkt over hoe je kan inspelen op de digitale ontwikkelingen van vandaag? Indie Group helpt je graag met het ontwikkelen,  optimaliseren of boosten van je online platform!

 

Samenwerken?