GDPR: alles wat je moet weten over data privacy

Op 25 mei 2018 trad de General Data Protection Regulation in werking. De Algemene Verordening der Gegevensbescherming (in het Nederlands) verving een verouderde Europese wet uit 1995 die geen rekening hield met de nieuwe digitale technologieën.

Elk bedrijf dat gegevens verzamelt – en dus letterlijk élk bedrijf doet dit, niet alleen Facebook – moet conform zijn met de wet: dit heet GDPR compliancy.

Ja, dit geldt ook als je een eenmanszaak of vereniging hebt.

Je moet al van een zeer afgelegen eiland terugkeren om niet van de GDPR te hebben gehoord. Maar hoewel iedereen er al wel eens van gehoord heeft, is nog niet iedereen volledig op de hoogte van de geest van de wet.

Daarom wil ik de belangrijkste regels die je moet weten even duidelijk oplijsten met concrete actiepunten. Ik ben uiteraard geen expert in de privacywetgeving. Als je hierover vragen hebt, mag je ze altijd stellen. Ik vertel je graag wat ik geleerd heb uit de informerende sessies die ik bijwoonde over dit onderwerp. Maar het is uiteraard beter om hierover te spreken met een professional.

Wat is data verzamelen?

De bedoeling van de GDPR is het verzamelen van data op een veilige manier te laten verlopen met respect en transparantie voor de verstrekker van die data.

Over welke data gaat het dan? De GDPR gaat specifiek over privacy en dus hebben we het over persoonsdata. Elk bedrijf verzamelt persoonsdata van hun klanten, leveranciers, partners, werknemers etc. Daar is op zich niks mis mee, zolang je het maar correct doet.

Persoonsdata omvat niet alleen jouw naam, e-mailadres, woonadres, geboortedatum, foto’s enz. Het gaat ook over sensitieve data, zoals jouw gewicht, bloedgroep, ethnische achtergrond, politieke voorkeuren, inkomen, medische data enz. Kortom, alle persoonsgegevens waarmee een specifiek individu kan geïdentificeerd worden, vallen onder de GDPR.

De GDPR telt vanaf het verkrijgen van data tot het vernietigen daarvan en alles ertussen qua verwerking (gebruiken, opslaan, wijzigen etc.).

Waarom is gegevensbescherming nodig?

Stel je schrijft je in op een e-maillijst. Alle namen en emailadressen die het bedrijf verzamelt, slaan zij ergens op. Wat gebeurt er daarna met jouw data? Daar heb je zo goed als geen controle meer over. Voordien konden bedrijven jouw gegevens doorverkopen bijvoorbeeld. Nu mogen ze dat niet meer zonder jouw toestemming. Dit betekent dus ook dat jouw bedrijf de gegevens van jouw klanten en werknemers in principe niet meer zomaar mag opslaan en gebruiken. Hieronder lees je er meer over.

Wat als je niet conform bent met de GDPR?

Elk bedrijf dat niet compliant is met de GDPR na 25 mei 2018 riskeert in principe sancties en/of boetes die maximum 4% van jouw jaarlijkse wereldwijde omzet inhouden met een limiet van 20 miljoen euro.

Het sactioneren en opleggen van boetes wordt bepaald door, in ons geval, de Belgische gegevensbeschermingsautoriteit. Sancties en boetes kunnen variëren per land. Ter verduidelijking: de algemene Europese wetgeving geldt voor alle bedrijven wereldwijd die Europese persoonsgegevens verzamelen en/of hun gegevensopslag gevestigd hebben in een Europees land, maar de aard van de sancties kan elk land zelf bepalen.

Wat zijn jouw rechten als jij jouw gegevens deelt met een bedrijf?

Transparantie: het bedrijf moet in duidelijke verwoording informeren welke gegevens nodig zijn, hoe jouw gegevens zullen gebruikt worden, en hoe ze worden opgeslagen.

Verantwoording: als bedrijf moet je steeds kunnen verantwoorden waarom je de gegevens nodig hebt en of je al dan niet toestemming van de eigenaar hebt gekregen om ze te verzamelen.

Overdraagbaarheid: elke Europese burger moet de mogelijkheid hebben om hun data te laten overdragen naar een andere dienstverlener (zoals in de telecom). Elke persoon heeft ook het recht om zijn/haar data in te kijken, te wijzigen en te laten wissen.

Veiligheid: elk bedrijf is zelf verantwoordelijk voor de goede zorg en veiligheid van de verzamelde data. Als er een datalek zou plaatsvinden (bvb. gestolen computer/USB of hacking van de database) ben je verplicht om dit datalek te melden bij de betrokken partijen binnen de 72 uur. Eigenlijk moet je nu al een rampenplan hebben voor het geval dit zou gebeuren. Hiervoor bestaat geen standaardplan, omdat elk bedrijf anders is.

Hoe ga je concreet aan de slag om GDPR compliant te zijn?

Om het super makkelijk en overzichtelijk voor je te maken, heb ik een handige checklist voor je klaar staan. Je kan deze afdrukken of opslaan. Zo kan je gestructureerd aan de slag om te checken of jouw zaak conform is met de privacywet.

Kortom…

De GDPR beschermt zowel de verstrekker van data als de verwerker ervan. Het kan alleen maar voordelen bieden om te weten wat jouw rechten en plichten zijn voor jezelf als eigenaar van jouw zaak maar ook als eigenaar van jouw persoonsgegevens.

Kennis is echter geen macht, als het niet opgevolgd wordt door actie.

Ga dus meteen aan de slag met de actiepunten in de checklist!

Heb je hierover nog vragen, contacteer me gerust. Ik ben echter niet gepositioneerd om te zeggen wat je wel of niet moet doen en kan ook geen verantwoordelijkheid nemen voor eventuele gevolgen die kunnen voortvloeien uit acties op basis van dit artikel. Voor je iets onderneemt, spreek je best met een professional.