Met boetes van vier procent van je totale jaaromzet, met een maximum van 20 miljoen euro, is het niet in orde zijn met de GDPR alvast geen lachertje. Hoog tijd voor een inspiratiesessie samen met onze GDPR-partner in crime Advocom. Zo kwamen we te weten hoe de GDPR yappa proof dient te zijn. Of was het andersom?! We delen graag onze learnings van deze inspiratiesessie.

GDPR, say what?!

GDPR staat voor General Data Protection Regulation en wordt ook wel eens de Algemene Verordening Gegevensbescherming – AVG genoemd.

Deze verordening gaat over het beheer, de beveiliging en de verwerking van persoonsgegevens van alle burgers en zal op 25 mei 2018 in werking treden. Tot op heden zijn er echter nog maar weinig organisaties die concreet weten wat de GDPR zal betekenen, laat staan dat ze weten wat ze moeten doen om er überhaupt mee in orde te zijn.

Wij nemen je alvast mee door de 7 'belangrijkste' geboden van de GDPR.

Gebod 1: Bewustwording

Als eerste stap dien je op de hoogte te zijn van de aankomende GDPR regelgeving. Niet alleen jij, maar ook je collega's en zelfs leveranciers kan je best op de hoogte brengen van de GDPR.
Zo leren ze niet alleen de impact van deze verordening kennen, maar weten ze ook welke veranderingen noodzakelijk zijn om GDPR-proof te worden.

Plan daarom zeker een interne infosessie in om iedereen op de hoogte te brengen van deze nieuwe regelgeving.

Gebod 2: Wees transparant

Daar waar je vroeger nog vrij mysterieus kon blijven over de opgevraagde gegevens bij een contactopname zal de GDPR voor veel transparantie zorgen. Zo zal je als bedrijf burgers op een begrijpelijke manier moeten informeren over hoe de data wordt verzameld en verwerkt, en hoelang deze gegevens bewaard worden. Gedaan dus met ellenlange algemene voorwaarden en privacy teksten die geen kat begrijpt.

Enkele vooraanstaande bedrijven hebben de boodschap alvast goed begrepen:

Bovendien zal je als bedrijf zijnde niet zomaar meer alle gegevens mogen verzamelen. Je zal op een duidelijke manier moeten kunnen aantonen dat de betrokkene voordeel haalt uit de verzamelde persoonsgegevens. Wil je als broodjeszaak de allergieën informatie van je klanten verzamelen om ze nadien alleen de geschikte broodjes te tonen? Dan kan dit perfect! Maar wil je als bedrijf de locatiegegevens opvragen bij het aanvragen van een offerte? Dan moet je aantonen waarom je deze data wil verzamelen op een vrije, specifieke, geïnformeerde en ondubbelzinnige manier.

Gebod 3: Toestemming, toestemming, toestemming

 

 

Het verkrijgen van de toestemming moet voldoen aan volgende voorwaarden:

  • Vrij gegeven: Er moet een verhouding bestaan tussen de betrokkene en de organisatie die zijn gegevens verwerkt.
  • Specifiek: Toestemming moet steeds gegeven worden voor een specifieke verwerking. 
  • Geïnformeerd: Er moet aangetoond kunnen worden dat de persoon in kwestie zich volledig bewust is van het gegeven dat hij zijn toestemming geeft.
  • Ondubbelzinnig: Hoewel toestemming reeds ondubbelzinnig moest zijn binnen de huidige Privacywet, verduidelijkt de GDPR dat ondubbelzinnige toestemming blijkt uit een verklaring of duidelijke actieve handeling.
  • Het recht om toestemming in te trekken: Een betrokkene heeft altijd het recht om zijn toestemming in te trekken en dit moet bovendien op een zeer eenvoudige manier kunnen gebeuren.

Wat met reeds verzamelde gegevens?

Voldoet de reeds verkregen toestemming al aan de nieuwe standaarden van de GDPR? Dan kan je deze persoonsgegevens blijven gebruiken. Heb je toestemming verkregen via een vooraf aangevinkte box? Dan zal de toestemming opnieuw verkregen moeten worden. Een reactiveringscampagne via e-mailmarketing kan hier alvast een handje bij helpen.

Naast het verkrijgen van de rechtmatige toestemming is ook de registratie ervan essentieel. Het verkrijgen van deze toestemming moet immers controleerbaar zijn. Je moet dus te allen tijde kunnen bewijzen dat je, voor elk persoonlijk gegeven dat je verwerkt, op een correcte manier toestemming hebt gekregen om het te verzamelen.

Gebod 4: De meldplicht

Wil je als bedrijf GDPR-proof zijn? Dan moet je binnen de 72 uur na een datalek een melding insturen. Uitgezonderd wanneer je kan aantonen dat het lek geen gevaar betekent voor de verzamelde persoonsgegevens.

Gebod 5: Stel een DPO aan

 

 

DPO staat voor Data Protection Officer. Een persoon die de onderneming adviseert, informeert en toeziet op de naleving van en de conformiteit van de GDPR. Verder zal de DPO het aanspreekpunt zijn binnen de onderneming voor de controlerende autoriteiten. De aanstelling van een DPO zal slechts in specifieke gevallen verplicht zijn (namelijk voor overheidsinstanties en/of wanneer er sprake is van regelmatige en stelselmatige observatie op grote schaal), maar het kan zeker geen kwaad iemand binnen de onderneming aan te wijzen die één en ander op zich zal nemen.

Gebod 6: Documentatieplicht

Het topje van de ijsberg moet echter nog onthuld worden want alle bovenstaande onderdelen moeten op een duidelijke manier gedocumenteerd worden.
In zo'n dataregister ga je volgende onderdelen zeker moeten vermelden:

  • Welke persoonsgegevens je wil bijhouden;
  • Waarom je deze persoonsgegevens wil bijhouden;
  • Waar je deze persoonsgegevens zal opslaan;
  • Hoelang je deze persoonsgegevens zal bijhouden.

Het bijhouden en onderhouden van dit dataregister zou een typische opdracht van de DPO kunnen zijn.

Gebod 7: Privacy by design

Na de GDPR zal ‘Privacy By Design’ de nieuwe standaard worden tijdens de ontwikkeling van (nieuwe) producten en diensten. Zo zal er in een vroegtijdig stadium al aandacht besteed moeten worden aan privacyverhogende maatregelen.

Naar yappa toe betekent dit bijvoorbeeld dat wij in de wireframe fase al aandacht moeten besteden aan deze nieuwe maatregelen. Zo zullen de velden van het contactformulier niet meer zo uitgebreid mogen zijn dan voordien.

Onze conclusie

Ook al kan de GDPR op heel wat hoongelach rekenen, toch zijn er ook voordelen aan verbonden. Zo zal de GDPR één legaal kader scheppen dat in heel Europa geldt en het is een opportuniteit om dataverwerking op een gestructureerde manier in kaart te brengen en om te zetten naar een efficiënte (geautomatiseerde) processen.

De yappanezen en Advocom zijn alvast klaar om elke klant en niet-klant bij te staan in het hele GDPR-verhaal!
Contacteer ons gerust voor een inspiratiesessie over de GDPR.