Wat was dat nu weer, GDPR?
GDPR staat voor General Data Protection Regulation: het is een door Europa verplichte wetgeving die geldt voor alle organisaties die gegevens van Europese burgers verzamelen en verwerken. Ongeacht grootte of vorm. Bijgevolg is de GDPR-wetgeving ook voor jouw kmo, eenmanszaak of vereniging sinds 25/05/2018 van kracht.
We spraken met de experts van het Business Coaches Network om nu – een jaar na inwerkingtreding – een stand van zaken op te meten.
Waarover gaat het?
Eind mei 2018 werd de verouderde Europese databeschermingsrichtlijn (terecht) gemoderniseerd. De doelstelling was om één overkoepelende wetgeving rond gegevensbescherming in het leven te roepen, die betrekking had op alle gegevens van Europese burgers. Met gegevens wordt alle informatie bedoeld waarmee een natuurlijk persoon kan geïdentificeerd worden. Dat gaat van de typische data zoals naam, adres, of woonplaats tot e-mailadressen, foto’s, maar ook IP-adressen of genetische informatie. Gegevens van je klanten, maar ook je medewerkers en leveranciers kunnen hieronder vallen.
De GDPR-wetgeving behandelt daarbij alle aspecten rond data-eigendom en -gebruik. Wanneer en hoe mag je als kmo gegevens van personen gebruiken? Wanneer mag je data delen of doorverkopen? Wanneer moet je data onherroepelijk wissen, of doorgeven aan derden? Wie blijft de finale eigenaar van gegevens? Quid bij hacking of diefstal van gegevens? Ook sancties bij het niet opvolgen van de wetgeving werden vastgelegd, die kunnen oplopen tot 4% van je omzet.
Wat betekent dit concreet voor een kmo?
Het is duidelijk dat je als kmo vandaag heel secuur moet omgaan met persoonsgegevens. Als organisatie moet je voortdurend transparant zijn in hoe en welke gegevens je verzamelt, en wat je ermee gaat doen. Enkele tips:
Creëer een dataregister
Stel een overzichtelijk document op rond alles qua persoonsgegevens, opslag en bestemming. Specifieer voor welke doeleinden de data worden gebruikt. Hierdoor bereik je twee doeleinden: een dataregister is een wettelijke verplichting – maar vooral – een goed opgesteld dataregister helpt te voldoen aan de ‘dataportabiliteit’: Europese burgers kunnen desgewenst vragen om de gegevens die ze aan je hebben toevertrouwd, over te dragen aan andere dienstverleners, zoals banken, telecomproviders of energieleveranciers. Een goed opgesteld dataregister zal je helpen om snel en efficiënt op zulke vragen te reageren.
Maak duidelijk voor welke doeleinden je persoonsgegevens gebruikt
Je moet de verstrekker van de gegevens altijd duidelijk maken waarvoor je zijn data gebruikt. Hanteer hierbij het principe van dataminimalisatie: vraag alleen die gegevens die je zult gebruiken en die nodig zijn voor het doel. Er moeten welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden zijn wanneer je persoonsgegevens gaat gebruiken.
Breng je website in orde
Wanneer je een website of webshop hebt, serveer je de bezoekers ongetwijfeld cookies. Dit zijn kleine tekstbestanden die op de toestellen van je bezoeker worden geplaatst. Dat kunnen cookies zijn die bijvoorbeeld de persoonlijke voorkeuren van bezoekers in kaart brengen en hun surfgedrag vastleggen, om hen vervolgens zeer doelgerichte marketingcampagnes te serveren, of producten te tonen waarin ze mogelijk geïnteresseerd zijn. Je kent het fenomeen wel: de schoenen van Zalando die je weken achtervolgen, ook op andere websites. Die cookies bevatten persoonsgegevens en moeten in overeenstemming gebracht worden met de GDPR. Hoe doe je dit? Door expliciet toestemming te vragen aan de bezoeker voor het gebruik van die cookies en de bezoeker het recht te geven die cookies te weigeren, wissen of uit te schakelen. Daarnaast moet je het cookiebeleid transparant weergeven op je website: welke gegevens verzamel je, waarom, en hoelang ga je die bewaren. Dit kan met een link naar een aparte pagina, waarin je aangeeft wie verantwoordelijk is voor het cookiebeleid, welke cookies je verzamelt en waarvoor ze dienen. Ook licht je toe hoe gebruikers cookies kunnen wissen, uitschakelen of aanpassen. Tot slot kun je hun rechten vermelden en tot wie bezoekers zich moeten richten voor vragen of klachten.
Het recht om vergeten te worden
Als een consument vraagt om ‘vergeten’ te worden, moet je zijn gegevens uit alle dataregisters van jouw organisatie verwijderen. Organiseer een procedure die op die vraag snel antwoord biedt en die effectief alle gegevens uit je registers verwijdert. Gegevens mogen alleen bewaard worden wanneer ze belangrijk zijn voor het openbaar belang, voor historisch of wetenschappelijk onderzoek of voor statistische doeleinden.
Ga na of je een DPO moet aanwerven of niet
Kijk of je een Data Protection Officer moet aanwerven. Deze persoon is een professional die adviseert rond alles inzake beheersen, verkrijgen en verwerken van data, in het licht van de GDPR-wetgeving. Neem contact op met het Business Coaches Network voor meer informatie.
Besluit
GDPR heeft de kaarten rond privacy grondig geschud. Je moet er als kmo voor zorgen dat je de privacy en data rond persoonsgegevens zeer goed bewaakt. Als je persoonsgegevens wilt verkrijgen, moet je hiervoor duidelijke en wettelijke doeleinden hebben en mag je alleen de strikt noodzakelijke gegevens opvragen. Als de GDPR-wetgeving niet correct wordt toegepast, kunnen er zware sancties volgen.