GDPR | Indie Group
Alle berichten
Artikel

GDPR

Om de snel en continu veranderende digitale economie extra slagkracht te geven, versterkt de Europese Unie haar focus op de bescherming van persoonlijke informatie van consumenten. Vanaf de lente in 2018 wordt de wetgeving uitgebreid met de General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG). Dit heeft ook voor jouw onderneming aanzienlijke gevolgen, maar geeft je organisatie ook de kans om zich te differentiëren van andere spelers op de markt.

Wat, voor wie en wanneer?

Onder persoonlijke informatie verstaan we niet alleen woonplaatsen, e-mailadressen of IP-adressen, maar onder andere ook medische informatie en betalingsgegevens. Jouw onderneming beschikt dus hoogstwaarschijnlijk ook over een bepaalde vorm van persoonlijke klantgegevens. De GDPR is al sinds mei 2016 in werking, maar organisaties krijgen nog tot 25 mei 2018 de tijd om te voldoen aan de aangepaste regelgeving. Bedrijven die vanaf dan nog steeds niet aan de voorwaarden voldoen, riskeren torenhoge boetes. Deze kunnen oplopen tot 20 miljoen euro of 4% van de omzet uit het voorgaande boekjaar.

1. Uitdrukkelijke toestemming:

Een consument moet met een actieve handeling instemmen om persoonlijke gegevens te laten verwerken. De betrokkene moet dus expliciet een vakje aanvinken of bepaalde instellingen selecteren.

2. Eenvoudige toegang:

De consument moet te allen tijde een eenvoudig zicht hebben op de persoonlijke gegevens die opgeslagen en verwerkt worden.

3. Het recht om vergeten te worden:

Indien aan bepaalde voorwaarden is voldaan, kan een consument eisen dat zijn of haar verwerkte gegevens verwijderd worden.

4. Dataportabiliteit:

Hierdoor moet het voor consumenten eenvoudiger worden om over te stappen naar een andere dienstverlener. De vroegere partij moet daarbij een kopie van de verwerkte persoonlijke gegevens verstrekken. Deze kopie moet bovendien gestructureerd en voor niet-specialisten begrijpbaar zijn.

Hoe bereid ik me voor als bedrijf?

Online informatie en kennis verzamelen en delen, is niet meer weg te denken in de digitale bedrijfsomgeving van vandaag. Daar tegenover nemen cyberaanvallen in aantal, omvang en complexiteit sterk toe. Een goed privacy- en beveiligingsbeleid van je klantgegevens is dus aangewezen, zeker na de publicatie van de GDPR. Om monsterboetes en gezichtsverlies te vermijden, tref je als onderneming dus best de volgende voorbereidingen.

1. Breng de informatie in kaart:
Zorg voor een overzicht van alle persoonsgegevens waarover je beschikt en ga na waar deze informatie vandaan komt en met wie het gedeeld wordt. Een duidelijk beeld van de interne en externe stroom aan informatie wordt dus nog belangrijker.

2. Beschik over een wettelijke grondslag:
Vanaf nu moet je als onderneming kunnen bewijzen waarom je bepaalde persoonsgegevens verzamelt. Zorg dus voor een juiste wettelijke motivatie, gerechtvaardigd bedrijfsbelang of uitdrukkelijke en vrijwillige toestemming door de consument. Nogmaals, het is dus heel belangrijk dat de consument expliciet instemt met het delen en verwerken van zijn persoonlijke informatie.

3. Update je privacy-beleid:
Na het invoeren van de GDPR moeten de privacy-verklaringen van je onderneming gedetailleerder en in toegankelijkere taal beschreven worden.

4. Handel snel en correct bij datalekken:
Stel een procedure op waardoor je datalekken in de organisatie snel kan opvangen. Bovendien moeten lekken binnen een periode van enkele dagen gemeld worden aan de Autoriteit Persoonsgegevens.

5. Neem een ‘Data Protection Officer’ in dienst:
Ondernemingen die als dagelijkse activiteit persoonlijke gegevens verwerken en analyseren, zullen verplicht worden om een Data Protection Officer in te huren.

6. Kies voor ‘Privacy-by-Design’:
Sinds de publicatie van de GDPR wordt privacy-by-design verplicht bij het verwerken van persoonsgegevens. Dit betekent dat ondernemingen al bij het ontwikkelen van producten of diensten rekening moeten houden met het beschermen van gegevens. Daarbij is het aangewezen om voor de ontwikkeling van online platformen beroep te doen op een betrouwbare partij en waterdichte technologie.