GDPR van start: hoe moet het nu verder?

by Elke De Wit

De Algemene Verordening Gegevensbescherming, alias GDPR of General Data Protection Regulation, overspoelde de voorbije dagen en weken ongetwijfeld ook uw mailbox en domineerde het nieuws. Sinds 25 mei zijn de privacyspelregels dus gewijzigd. Maar wat verandert er precies voor bedrijven en consumenten? En hoe speelt uw onderneming best in op de nieuwe regelgeving?

 Privacyregels zijn niet nieuw. Ook in België gold er al een uitgebreide privacyreglementering. Met GDPR zijn de regels verstrengd en op Europees niveau geharmoniseerd.

 

De doelstelling van GDPR

GDPR wil consumenten beter beschermen tegen misbruik van hun persoonlijke gegevens en fenomenen zoals phishing en spam een halt toeroepen.

 

Rechten van de consument

Dankzij GDPR beschikken consumenten voortaan over een aantal expliciete rechten als het gaat over het gebruik van hun persoonsgegevens:

  • Expliciete toestemming:bedrijven mogen enkel nog commerciële of marketingmails sturen naar prospects of klanten die daarvoor expliciet hun toestemming gegeven hebben (tenzij er sprake is van een gerechtvaardigd belang).
  • Recht om vergeten te worden:consumenten kunnen bedrijven vragen om hun persoonlijke data te verwijderen.
  • Recht op informatie:iedereen moet weten welke data een bedrijf over hem of haar verzamelt, waarvoor deze data gebruikt worden, hoe lang ze bewaard worden …
  • Recht op inzage:consumenten kunnen bedrijven vragen over welke data ze precies beschikken.
  • Recht op overdraagbaarheid:elke consument heeft het recht om zijn persoonlijke gegevens bij een bedrijf op te vragen en te laten doorsturen naar een nieuwe leverancier.
  • Recht op rectificatie:iedereen mag foutieve persoonsgegevens laten rechtzetten. Bedrijven moeten hier gehoor aan geven vooraleer ze opnieuw contact nemen.
  • Recht op verzet tegen profilering: consumenten mogen bedrijven vragen om geen automatische verwerking van hun persoonsgegevens toe te passen.

 

Verplichtingen voor bedrijven

Uit de rechten van de consumenten die hierboven beschreven staan, volgen uiteraard een aantal verplichtingen voor ondernemingen. Daarnaast gelden er op de bedrijven nog een aantal extra to do’s:

  • Documentatieverplichting: bedrijven moeten in een register bijhouden hoe ze persoonsgegevens verzameld hebben en wat ze ermee doen.
  • Actieplan bij datalekken: ondernemingen moeten concrete procedures hebben die toegepast worden bij een datalek. Ze dienen de Privacycommissie en de personen wiens data potentieel vrijgekomen zijn, te verwittigen bij een datalek.

 

Opgelet voor gevoelige data

Bepaalde gegevens, zoals over gezondheid, lidmaatschap van een vakbond, geloofsovertuiging, seksuele geaardheid, etnische afkomst … mogen niet verwerkt worden door bedrijven, tenzij de betrokkenen hiervoor expliciet hun toestemming gaven of in specifieke gevallen in het arbeids- of socialezekerheidsrecht.

 

Data Protection Officer

In bepaalde gevallen moeten bedrijven een Data Protection Officer hebben. Die persoon ziet erop toe dat de onderneming de data bewaart en verwerkt volgens de regels van de GDPR. Of een onderneming zo’n DPO moet gelasten, hangt af van twee criteria:

  • Is de activiteit van het bedrijf (voornamelijk) gericht op het verwerken van persoonsgegevens?
  • Is er sprake van grootschalige verwerking van persoonsgegevens (concrete getallen worden niet genoemd)?

Voldoet een bedrijf aan beide criteria, dan is de aanstelling van een DPO verplicht.

 

Wordt prospectie onmogelijk?

Neen, zeker niet! Bedrijven moeten wel een verplichte opt-in krijgen van de prospects voor het gebruik van hun persoonsgegevens. Ze kunnen ook andere tools en ideeën inzetten om te prospecteren, zoals sociale media, actiever prospectie naar bedrijven, … Ten slotte mag een firma ook marketing- of commerciële mails sturen naar consumenten op basis van een gerechtvaardigd belang. Hierbij moeten ze wel beoordelen of het belang voldoende opweegt tegen de rechten van de betrokkenen. Is dat niet het geval, dan mogen er geen commerciële mails verzonden worden.

 

Monsterboetes

Bedrijven die de GDPR-regels niet respecteren, lopen het risico op een torenhoge boete. Die kan maximaal oplopen tot 4 procent van de jaaromzet, met een maximum van 20 miljoen euro. Philippe De Backer, de bevoegde staatssecretaris in ons land, heeft wel al aangekondigd dat de klemtoon in de eerstkomende maanden ligt op sensibilisering en niet op bestraffing.

 

Zin in meer?

Hebt u nog bijkomende vragen over de concrete toepassing van de GDPR-regels? Schrijf dan in op één van onze opleidingen uit het GDPR, Privacy & Security aanbod. Experten geven u praktische tips en adviezen, die u meteen in praktijk kunt brengen. Zo kunt u uw privacy en security policy binnen uw bedrijf verder optimaliseren.

Lees ook