GDPR, wat betekent het voor je KMO?

GDPR staat voor General Data Protection Regulation, oftewel Algemene Verordening Gegevensbescherming (AVG). Deze verordening vervangt de verouderde Europese databeschermingsrichtlijn uit 1995, omdat ze niet meer mee is met de digitale technologieën van vandaag. Bedrijven en overheden krijgen tijd tot 25 mei 2018 om hun bedrijfsvoering GDPR compliant te maken. Omdat de GDPR impact heeft op zowat iedere kmo, deel ik graag het antwoord op een aantal veel gestelde vragen.

Waarom bestaat er een wettelijk kader rond gegevensbescherming?

Er worden vandaag de dag, ook door jouw bedrijf, heel wat persoonsgegevens verzameld. Denk maar aan gegevens die in websiteformulieren worden ingevuld, databanken met klantgegevens, e-maillijsten, ticketingsystemen enzovoort. Om een goede bescherming van deze gegevens te verzekeren, legt Europa verplichtingen op aan bedrijven die gegevens verzamelen en verwerken, en geeft het rechten aan natuurlijke personen die hun persoonsgegevens met deze bedrijven delen. Europese burgers dienen immers de controle te behouden over hoe en aan wie hun gegevens verstrekt worden en waarvoor ze gebruikt worden. De GDPR heeft als doel om één overkoepelende wetgeving over gegevensbescherming te verstrekken die automatisch geldt in alle Europese lidstaten.

Is de GDPR ook voor mijn bedrijf van toepassing?

De General Data Protection Regulation (GDPR) is een officiële Europese wetgeving die van toepassing is op alle organisaties die gegevens van Europese burgers verzamelen en verwerken. Ook indien je een éénmanszaak of vereniging hebt dus.

Wat valt er onder persoonsgegevens?

Met persoonsgegevens wordt alle informatie bedoeld waarmee een natuurlijke persoon geïdentificeerd kan worden. Hieronder vallen onder andere namen, adressen, telefoonnummers, e-mailadressen, foto’s, klantennummers, IP-adressen, maar ook genetische en biologische gegevens.

Wat als mijn beleid niet GDPR compliant is?

Heb je je bedrijfsvoering niet afgestemd op de Europese regelgeving tegen 25 mei 2018, dan riskeer je boetes en sancties die kunnen oplopen tot 20 miljoen euro of 4% van je jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. De Belgische privacycommissie zal hervormen tot de gegevensbeschermingsautoriteit die hiervoor het controleorgaan wordt.

Wat houdt de GDPR in?

Veel van de basisprincipes van de GDPR kunnen we vandaag al terugvinden in de Belgische Privacywet.
Onderstaande pijlers zijn belangrijke aspecten die de nieuwe Europese regels kenmerken:

Transparantie: Het is de plicht van je bedrijf om personen duidelijk te informeren over welke gegevens er verzameld en verwerkt worden, en waarvoor je ze gebruikt. Dit alles moet op een begrijpelijke, transparante manier gebeuren.

Verantwoording: het is noodzakelijk dat je kan verantwoorden voor welk vooropgesteld doel je de verwerkte persoonsgegevens nodig hebt, anders mag je ze niet langer bijhouden (purpose limitation). Ook is het belangrijk dat er een rechtsgrond of actieve toestemming is toegekend aan de verwerkingsactiviteit.

Dataportabiliteit: Europese burgers moeten persoonsgegevens die ze aan je bedrijf hebben gegeven, kunnen overdragen naar een andere dienstverlener. Bijvoorbeeld bij een verandering van telecomprovider. Deze pijler is een aanvulling op het reeds bestaande inzagerecht waarbij personen een verzoek kunnen indienen om opgeslagen informatie te bekijken. Personen hebben trouwens ook het recht op hun persoonsgegevens te laten wissen, ook indien hun data gedeeld is met derde partijen.

Data Protection by Design: maak een Data Protection Impact Assessment (DPIA) op wanneer je een nieuwe tool laat bouwen. Nog voordat je website of webapplicatie daadwerkelijk ontwikkeld wordt, maak je een risicoanalyse op met betrekking tot de privacy en bescherming van persoonsgegevens.

Databeveiliging: het is je plicht om persoonsgegevens veilig op te slaan en te beveiligen via gepaste technische en organisatorische maatregelen. Indien er toch een datalek plaatsvindt (bijvoorbeeld via een gestolen laptop of smartphone, virus of hacking) ben je verplicht om dit datalek te melden. Afhankelijk van de ernst moet dat in je logboek, aan de gegevensbeschermingsautoriteit en/of aan de betrokkenen. Voorzie nu al een Data Disaster Plan waarin staat beschreven welke procedure je zal toepassen wanneer het fout loopt met je gegevensbescherming.

Er bestaat helaas geen standaard stappenplan of checklist die je kan afvinken waarbij je zeker bent dat je gegevensverwerking in overeenstemming met de nieuwe regelgeving is. Meer nog, wat voor andere ondernemingen te verantwoorden is, is dat mogelijk niet voor jou.

Wat moet ik ondernemen om ervoor te zorgen dat mijn bedrijf GDPR compliant is?

We delen graag het GDPR compliancy traject dat we bij Datalink hebben doorgevoerd omdat het een handige richtlijn is om zelf te volgen:

1. Training. Netwerkarchitect Danny is een opleiding gaan volgen tot DPO en mag zich vandaag gecertificeerd Data Protection Officer noemen. Ook webarchitect Karen heeft zich verdiept in de materie door verschillende opleidingen te volgen. Op die manier waren zij helemaal mee met de wetgeving en klaar voor de implementatie.

2. Privacy audit. Door middel van een doorgedreven audit zijn we een analyse gaan opmaken van de mate waarin de GDPR-principes reeds correct werden toegepast in onze kmo. In deze audit zijn we alle verwerkingen van persoonsgegevens van websitebezoekers, fysieke bezoekers, prospects, klanten, leveranciers, (freelance) partners en medewerkers gaan analyseren. Het resultaat werd een helder adviesrapport, opgesteld door onze DPO, gevolgd door een actieplan.

3. Opstellen van het dataregister. Het dataregister is ingevoerd omdat de aangifteplicht bij de privacycommissie verandert naar een documentatieplicht waarbij het register van verwerkingsactiviteiten ten alle tijden moet kunnen worden getoond. Dit is een wettelijke verplichting voor verwerkers en verwerkingsverantwoordelijken. Omdat wij bij Datalink beide rollen vervullen, hebben we meerdere registers opgesteld; als verantwoordelijke en ook nog eens als verwerker per aparte klant.

4. Doelbinding. Iedere verwerking van persoonsgegevens moet met een rechtmatig doel verbonden zijn. Voor iedere verwerkingsactiviteit hebben we het doel bepaald én daarbij het principe van dataminimalisatie in het achterhoofd gehouden. Je mag immers niet méér persoonsgegevens bijhouden dan nodig voor het beoogde doel.

5. Controle van de rechtsgrond en/of toestemming. Voor iedere verwerkingsactiviteit is een rechtsgrond of actieve toestemming vereist. Toestemming van de betrokkenen moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bij verwerking van persoonsgegevens van minderjarigen is bovendien de toestemming van een ouder of voogd nodig. Bij iedere verwerkingsactiviteit vulden we de rechtsgrond aan in het register.

6. Communicatie over privacy. Door ons privacybeleid en onze overeenkomsten kritisch te evalueren zijn we gaan kijken of we steeds op een beknopte, begrijpbare en duidelijke manier informeerden over de verwerkingsactiviteiten. Waar nodig, sturen we bij.

7. Opstellen van overeenkomsten, clausules en procedures. We hebben werkwijzen en procedures opgesteld met betrekking tot de rechten van de betrokkenen én privacy by design (wanneer we een nieuwe verwerkingsactiviteit starten, hoe gaan we dan proactief kritisch nadenken over privacy?). Daarnaast hebben we ons Data Distaster Plan opgesteld. Onze overeenkomsten zijn bijna klaar en worden naar verwachting tegen maart 2018 bij iedere klant in orde gebracht.

8. Evaluatie van de technische en organisatorische maatregelen. Omdat je aantoonbaar voldoende maatregelen moet hebben genomen om persoonsgegevens te beschermen, én omdat wij van security een top priority maken, evalueren wij onze beveiligingsmaatregelen systematisch, waar mogelijk automatisch, én periodiek. We zetten alles op alles om een datalek te voorkomen en dat moet de standaard zijn.

9. Sensibilisering van het team. We zijn alle medewerkers in ons bedrijf gaan bewustmaken over de GDPR. Vandaag bieden wij trouwens zelf in-company opleidingen en praktische workshops aan op maat, mocht je ons wensen in te schakelen hiervoor. Het is belangrijk dat iedereen de basisprincipes van de verordening kent, en de vertaalslag kan maken naar zijn of haar dagdagelijkse werking.

10. Opvolgingsaudits. Door middel van periodieke opvolgingsaudits plannen we onze kritische denkoefening opnieuw in en blijft ook in de toekomst duidelijk in welke mate de omgang met privacy nog steeds correct wordt toegepast. Zo blijft onze organisatie, maar ook ons team scherp!

Conclusie

Het wordt enorm belangrijk dat je exact weet waar je persoonsgegevens hebt opgeslagen, hoe je ze verwerkt en beschermt. Organiseer daarom een interne privacy audit waarbij je alle activiteiten en verwerkingsdoeleinden van persoonsgegevens gedetailleerd in kaart brengt. Deze houd je bij in een dataregister dat bij een controle kan worden opgevraagd. Het dataregister kan je samen met je IT partner opstellen. Haal data tijdig weg bij leveranciers en softwarefabrikanten die zich niet in regel stellen met de nieuwe wetgeving én sensibiliseer je medewerkers.

Focus in het verzamelen en verwerken van persoonsgegevens enkel op de informatie die je écht nodig hebt. Je zal kritisch moeten onderzoeken waarom je bepaalde data hebt (doelbinding) en mag ze ook niet onnodig lang bewaren (dataminimalisatie). Wis alle overbodige data.

Check je organisatie op alle overige GDPR-vereisten, al dan niet met behulp van een Data Protection Officer (DPO). Zorg er ook voor dat al je overeenkomsten en voorwaarden GDPR compliant zijn en beroep je hiervoor op een gespecialiseerde advocaat.

Is jouw kmo klaar voor de GDPR regelgeving?

Plan vandaag nog je GDPR traject om je onderneming klaar te stomen voor de GDPR. Of stel gerust je vraag via ons contactformulier. Bij Datalink kennen we de regelgeving zeer goed en hebben we gecertificeerde DPO’s (Data Protection Officers) in het team.

Stel hier je vraag over de GDPR!

Interessant artikel? Deel deze pagina met je netwerk!