GDPR ook voor mij?

Met de General Data Protection Regulation, kortweg GDPR wil Europa bijdragen aan een hoger beschermingsniveau voor alle consumenten wiens persoonsgegevens verwerkt worden.

Datum om in het oog te houden is 25 mei 2018. Dan gaat het besluit van kracht in alle Europese lidstaten. Particulieren kunnen zich rechtstreeks beroepen op hun bijkomende rechten inzake privacywetgeving ten aanzien van elke onderneming die persoonsgegevens verwerkt.

Een kwestie van focus uiteraard maar belangrijker dan de dreiging van boetes is hoe je omspringt met de GDPR. De nieuwe wetgeving biedt u als bedrijf immers de kans om op een transparante en datavriendelijke manier met klanten om te gaan.

GDPR ook voor jou

Verwerkt u persoonsgegevens van EU-burgers? Wel dan moet u rekening houden met deze wetgeving. De opvatting is zo ruim dat ook gegevens die een individu onrechtstreeks kunnen identificeren hier onder vallen. Veelvoorkomend zijn de IP-adressen die op een website aan de hand van actieve cookies worden verzameld om de gebruiker indirect te identificeren.

De verplichtingen komen er voor bedrijven die persoonsgegevens verwerken voor eigen doeleinden maar evengoed voor ondernemingen die ze verwerken voor hun klanten.

Het gaat om de gegevens van personen van binnen de EU, dus de business naar een niet EU land verkassen biedt geen antwoord op deze nieuwe wet. Ook mastodonten zoals Google & Facebook zullen de dans dus niet ontspringen.

In het kort: iedereen die op zijn website persoonsgegevens vraagt valt onder deze nieuwe wetgeving. Denk maar aan ‘laat je mailadres achter om een whitepaper te verkrijgen' of een winkellier die een klantenkaart aanbiedt en de gegevens hiervan verzamelt.

Een infografiek van de Europese privacyverordening
Een infografiek van de Europese privacyverordening

Transparantie is key

GDPR verplicht ondernemingen om een transparant privacybeleid te voeren en dit beleid te verantwoorden. Daarbij geldt de stelregel hoe groter de onderneming, hoe meer verantwoording.
De meest efficiënte manier om aan deze verplichting te voldoen is door het opstellen van een privacy-verklaring die u online ter beschikking stelt.

Deze dient minstens het volgende te bevatten:

  • Recht op inzage in de gegevens
  • Recht op correctie van gegevens
  • Recht op vergetelheid
  • Recht op beperken van de verwerking
  • Recht op bezwaar tegen de verwerking
  • Recht op gegevensoverdracht

Vervolgens is een documentatie van alle stappen in de persoonsregistratie belangrijk om verantwoording te kunnen afleggen. Voor grote onderneming wordt het bijhouden van een register zelfs verplicht.

Zo privacyvriendelijk mogelijk

Zo moet een consument bewust zijn of haar toestemming geven om persoonsgegevens te gebruiken en hebben ze het recht om ‘vergeten te worden’. Zowel je algemene voorwaarden als inschrijvingen op de nieuwsbrief (opt-ins) dienen in functie hiervan opgebouwd worden. Je schrijft je in om iets te ontvangen. Niet om iets niet meer te ontvangen. Een belangrijke nuance.

Een lek, wat nu?

In geval van een datalek moet er een melding gebeuren aan de Privacycommissie binnen de 72u nadat het lek werd ontdekt. Uiteraard doet uw online partner er alles aan om data-lekken te voorkomen, maar niets is 100% veilig.

Wanneer zo’n lek een hoog risico inhoudt voor de rechten en vrijheden van EU-burgers dienen ook de personen in kwestie op de hoogte gebracht te worden, in klare en eenvoudige taal.

De privacycommissie krijgt in België de bevoegdheid om administratieve sancties op te leggen. Kapitaalkrachtige ondernemingen zullen dit ook niet kunnen afkopen. Omdat de boetes dienen af te schrikken kunnen ze astronomisch hoog worden.

Hoe kan Lavagraphics een antwoord bieden voor jou?

We zijn uiteraard geen juristen maar we houden wel de vinger aan de pols en zoeken mee naar oplossingen op maat van jouw onderneming. Wie een website met nieuwsbriefmodule actief heeft hoeft geen gigantische audit te vrezen maar je dient wel - net als de multinational - GDPR compliant te zijn.

Actiepunten die je zelf als voorbereiding op de GDPR kan nemen

  1. Lijst op waar en hoe je persoonsgegevens verzamelt;
  2. Leg vast wat je met deze gegevens doet;
  3. Zorg ervoor dat je toestemming hebt (kan enkel met opt-in);
  4. Herschrijf je privacy statement in mensentaal;
  5. Stel een procedure op voor als iemand gegevens wil inkijken, wil wijzigen of deze wenst te verwijderen;
  6. Zorg voor een goede databescherming;
  7. Stel een actieplan op voor als het fout loopt. Een lek moet binnen de 72u gemeld worden.

Interessante bronnen

Wil je meer weten omtrent de GDPR en wat deze spelregels specifiek voor jou betekenen? Lavagraphics brengt je graag in contact met een juridisch partner gespecialiseerd in ICT- of informaticarecht.

Naar overzicht
Dries Van haver
Strategic Partner

Managing/strategic partner, projectmanager, strateeg en bewaker-met-arendsoog van uw online communicatie.

Meer over dit onderwerp?

Geïnspireerd door deze post of honger naar meer? Kom gerust eens langs.

Maak een afspraak