Wat is GDPR?
GDPR… iedereen heeft er de mond van vol, maar weten jullie dan ook wat het is en waar je op moet letten om in orde te zijn met de wetgeving?
Wanneer ik aan mijn goede vriend ChatGPT vraag ‘Wat is de GDPR-wetgeving?’, dan krijg ik deze mooie samenvatting:
“De GDPR, ofwel de Algemene Verordening Gegevensbescherming, is een wetgeving van de Europese Unie die op 25 mei 2018 van kracht is gegaan. De wet is ontworpen om de privacy van individuen te beschermen en de manier waarop organisaties gegevens verwerken te reguleren. Hier zijn enkele kernpunten van de GDPR:
- Rechten van individuen: De GDPR geeft individuen meer controle over hun persoonlijke gegevens. Ze hebben onder andere het recht op toegang tot hun gegevens, het recht om gegevens te corrigeren, het recht om vergeten te worden en het recht op gegevensoverdraagbaarheid.
- Toestemming: Organisaties moeten duidelijke toestemming verkrijgen voordat ze persoonlijke gegevens verwerken. Deze toestemming moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn.
- Data Portabiliteit: Individuen hebben het recht om hun persoonlijke gegevens te verkrijgen en over te dragen tussen dienstverleners.
- Meldplicht datalekken: Organisaties moeten datalekken melden aan de toezichthoudende autoriteiten en mogelijk ook aan de betrokken individuen.
- Privacy by Design en by Default: Organisaties moeten bij het ontwerpen van systemen en processen privacyoverwegingen integreren (Privacy by Design) en standaardinstellingen hanteren die alleen de noodzakelijke gegevens verwerken (Privacy by Default).
- Data Protection Officer (DPO): In sommige gevallen moeten organisaties een Data Protection Officer aanstellen om toezicht te houden op gegevensbeschermingsactiviteiten.
- Boetes: De GDPR voorziet in aanzienlijke boetes voor organisaties die de regelgeving schenden. Boetes kunnen oplopen tot 4% van de wereldwijde jaaromzet van een bedrijf.
De GDPR is van toepassing op alle organisaties die persoonlijke gegevens van EU-burgers verwerken, ongeacht waar deze organisaties zich bevinden. Het doel is om een consistente gegevensbeschermingsstandaard te handhaven binnen de Europese Unie.”
Oké, bedankt ChatGPT, mooie start om even te schetsen waarover het hier gaat.
Hoe is deze wetgeving eigenlijk tot stand gekomen?
De wet is vooral bedoeld om manipulatie, misbruik en diefstal van persoonsgegevens te voorkomen. Want laat ons eerlijk zijn, vroeger werd er data verzameld zonder enige richtlijn, zonder enig kader, zonder enige toestemming.
Daarbovenop was de oude wetgeving in de meeste landen, onder andere door de technologische revolutie, compleet achterhaald en werd er dus beslist om een Europese wet te maken die voor alle Europese landen van kracht zou zijn. De wet is van kracht sedert 25 mei 2018.
Het hoofddoel van de GDPR is het beschermen van de privacy en persoonsgegevens van individuen binnen de Europese Unie. De wetgeving wil de Europese burger beschermen dus de wetgeving geldt niet alleen voor alle bedrijven gevestigd in Europa maar ook voor alle bedrijven en alle organisaties die persoonsgegevens verzamelen van Europese burgers, ook als ze zelf niet in Europa gevestigd zijn. Het is een wettelijk kader dat regels en voorschriften vaststelt voor de verzameling, verwerking en opslag van persoonsgegevens.
GDPR is de Engelse afkorting van de Algemene Verordening Gegevensbescherming (AVG), namelijk de General Data Protection Regulation.
Waar moet je als bedrijf op letten?
Hieronder leggen we in 10 stappen uit hoe je als bedrijf kan voldoen aan de GDPR-wetgeving en dus ook boetes kan vermijden.
- Bewustwording
Niet enkel jij, maar ook alle medewerkers binnen je bedrijf moeten zich bewust zijn van deze wetgeving. Enkel zo kan je de risico’s inschatten en de noodzakelijke wijzigingen doorvoeren. Organiseer eventueel een workshop voor je medewerkers.
- Leg een dataregister aan
Als onderdeel van de documentatieplicht moet elk bedrijf een dataregister hebben. Als er ooit een datalek is, zal je dat register moeten voorleggen om te bewijzen dat je wel degelijk aan de regels voldoet. Je maakt een overzicht van de persoonsgegevens die je verwerkt, je bepaalt waar ze vandaan komen en met wie ze gedeeld worden.
- Kritisch zelfbeeld
Persoonlijke data verwerken mag enkel wanneer dit noodzakelijk is voor de uitvoering van de diensten (denk aan een ziekenhuis), als er een wettelijke verplichting bestaat OF als je de hiervoor de toestemming hebt verkregen.
Je kijkt best even kritisch binnen je organisatie waarom je data hebt en of je die wel echt nodig hebt. Je mag persoonlijke data ook niet onbeperkt bewaren. In kaart brengen is niet genoeg, je moet echt ook kenbaar maken in een privacyverklaring.
Sluit een verwerkersovereenkomst met alle partijen die gegevens voor jou verwerken.
- Controleer de toestemming
De toestemming moet volgens de wetgeving VRIJ, SPECIFIEK, GEÏNFORMEERD en ONDUBBELZINNIG zijn.
Enkele concrete voorbeelden:
Een vooraf aangevinkt keuzevakje als toestemming telt niet, je moet de toestemming ook registreren want de toestemming moet controleerbaar zijn, het verplicht doorgeven van locatiegegevens is ook geen vrije toestemming, de gebruiker moet steeds de mogelijkheid hebben tot een opt-out enzoverder.
Voor de verwerking van persoonsgegevens van minderjarigen heb je een specifieke toestemming van de ouder of voogd nodig.
- Communiceer over privacy
Het is een gevoelige kwestie dus communiceer erover. Alle informatie moet in een beknopte, begrijpbare en duidelijke taal gebeuren. Dus (her)bekijk zeker je privacy policy.
Gebruik je advertenties op facebook of andere marketingtechnieken om personen te targetten op basis van demografie, interesses of verrichte acties, dan is dit profiling en moet dit in je policy omschreven worden.
Je privacy policy moet zeker ook het volgende bevatten:
- Waarom mag je deze gegevens bijhouden?
- Hoe lang ga je ze bijhouden?
- Worden ze uitgewisseld buiten de EU?
- Hoe kan iemand klacht indienen bij de privacy commissie?
- Denk na bij een nieuw proces of product
Besteed bij het creëren van nieuwe processen of producten voldoende aandacht aan de GDPR-wetgeving. Denk hierbij aan websites… pseudonimiseren van persoonsgegevens, toegangsrechten tot persoonlijke data limiteren, …
- Voorzie een procedure
Denk goed na over de procedure die je bedrijf zal volgen om aan het soort vragen van particulieren te beantwoorden.
Personen hebben namelijk
- Recht op informatie en toegang tot hun persoonsgegevens
- Recht op verbetering én verwijdering van gegevens (en het recht om vergeten te worden)
- Recht op bezwaar tegen directe marketingpraktijken, geautomatiseerde besluitvorming en profilering
- Recht op overdraagbaarheid van gegevens
- Maak een data disaster plan
Volgens de GDPR-wetgeving moet je ook op voorhand bepalen hoe je het zal oplossen als het ooit fout loopt. Bouw dus procedures uit die het mogelijk maken om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden.
- Stel een DPO aan
Niet elk bedrijf moet een Data Protection Officer aanstellen.
Overheden of verwerkers die regelmatig en stelselmatig privacygegevens op grote schaal observeren moeten een DPO aanstellen. Dit kan ook een extern adviseur zijn.
- Controleer je datastromen buiten de EU
Als je data verwerkt of doorgeeft buiten de EU, zal je moeten nagaan of je over dezelfde privacywetgeving beschikt als in de EU het geval is. Vaak moeten deze vereisten contractueel afgedwongen worden.
Controleer dus je datastromen en zorg dat alles contractueel in orde is of nog beter… werk met Belgische partijen die hun data ook effectief volgens de GDPR-wetgeving in België bewaren.
Wat met die boetes?
Je volgt de wetgeving maar beter strikt op want anders riskeer je een stevige boete. Het is namelijk een wettelijke verplichting. De boetes kunnen oplopen tot 4% van je wereldwijde omzet.
Maar de GDPR is ook goed nieuws. Waar er vroeger een wildgroei aan nationale en vaak verouderde regelgeving rond privacy bestond, is er nu een Europees kader dat richting geeft. Er is héél weinig vertrouwen van de consument als het om privacy gaat en net daar kan je je dus als organisatie in onderscheiden.
Heb je een vraag over GDPR? Contacteer ons!”
