Wat je moet weten over de GDPR


GDPR – BEN JIJ AL IN ORDE?

Je hebt het waarschijnlijk al enkele keren horen vallen “GDPR” maar wat betekent dit nu exact voor jou en je zaak?

De General Data Protection Regulation (aka GDPR) wordt gelanceerd met het oog op meer transparantie, privacy en het bewust omgaan met (personen)gegevens in een digitale wereld. Enerzijds moedigen we dit aan want privacy is belangrijk anderzijds zorgt dit voor tal van extra regels en verplichtingen.

Deze nieuwe wetgeving is van toepassing op ALLE bedrijven die persoonsgegevens gebruiken/ verzamelen/verwerken van EU-burgers. Persoonsgegevens worden erg breed opgevat, ook IP-adressen, cookies en handles worden bekeken als persoonsgegevens.

Er komen veel principes van de Belgische Privacy wet naar voren alsook een aantal nieuwigheden. Hieronder vind je een handig overzicht van de belangrijkste zaken die in orde moeten zijn voor 25 mei 2018.

Is dit voor mij ook van toepassing?

Zoals hierboven al vermeld is het voor alle bedrijven, organisaties en overheden die gebruik maken van persoonsgegevens van toepassing. De maatregel is van toepassing op alle EU-inwoners in privé en zakelijke context.

Als je gegevens verzameld van -16 jarigen zullen de ouders in plaats van hun kinderen toestemming moeten geven dat jij hun persoonlijke gegevens mag bijhouden.

Wat valt er allemaal onder persoonsgegevens?

De GDPR gaat over alle persoonsgegevens die het mogelijk maken om een persoon als één individu te identificeren. Als je deze nodig hebt voor je zaak (zoals vele andere bedrijven) moet je expliciete toestemming  krijgen van de persoon in kwestie.

Deze gegevens zijn onder te verdelen in twee categorieën:

  1. De normale persoonlijke gegevens zoals IP adres, telefoonnummer, mail adres, verjaardag…
  2. Dit zijn de gevoelige gegevens die extra aandacht vragen zoals rijksregisternummer, etnische herkomst, geloof of politieke overtuiging.

Hoe zorg ik er nu voor dat de GDPR correct toegepast wordt op mijn zaak?

Vooraleer we verder gaan is het belangrijk om te weten dat dit artikel niet exhaustief is en dit je geen 100% zekerheid geeft, elke onderneming verschilt en de regels zijn soms vatbaar voor interpretatie, dus kijk dit steeds na onder correcte juridische begeleiding.

Maar de volgende vragen en antwoorden geven je alvast een goed startpunt.

1. Moet er iets veranderen aan mijn huidige mailing database om conform te zijn met de GDPR-wetgeving?

Kort gezegd, je mag ze niet blijven gebruiken zonder verdere herbevestiging. De algemene regel is dat je mail adressen enkel en alleen mag gebruiken voor het specifieke doel waarvoor ze verzameld zijn.

De manier van toestemming moet actief en expliciet zijn. Je kan best je mailinglijst contacteren met de vraag om (opnieuw) toestemming te geven dat ze op je mailinglijst willen blijven staan.

2. Hoe zit het met algemene voorwaarden?

Normaal gezien heb je al algemene voorwaarden op je website staan of ooit al laten opmaken. Deze vul je best aan met een privacy statement waarin je helder uitlegt wat er gebeurt met de gegevens die je als bedrijf verzamelt.

Wat moet er zeker in het privacy statement staan? Wat je doet met de verzamelde gegevens, hoelang ze bewaart blijven en hoe ze verwijdert kunnen worden.

3. Hoe lang mag je de data nu bewaren en gebruiken?

Het belangrijkste hierbij is dat je het bewaren en gebruiken kan rechtvaardigen voor een vooraf bepaald doel. Dit klinkt natuurlijk redelijk “voor interpretatie vatbaar”, het belangrijkste is dat je het doel kan rechtvaardigen en verantwoorden.

Bijvoorbeeld ik hou X gegevens bij omdat ik deze nodig heb voor facturatiedoeleinden.

4. Verandert er iets aan het cookie beleid?

Als je gebruik maakt van cookies moet je dit aan je lezer te kennen geven en hierbij moet de surfer weer expliciet toestemming voor geven.

Wanneer is dit expliciet?
– Als je een handeling bewust moet uitvoeren (bijvoorbeeld ergens op klikken)
– Als er bij staat dat verder surfen gelijkstaat aan het aanvaarden van de voorwaarden

Gemakkelijk is om in dit geval met een pop-up te werken.

 

Waarom moet je bovenstaande punten zeker in orde maken voor 25 mei?

Natuurlijk omdat je als bedrijf bewust en veilig wilt omgaan met de privacy van je klanten en gebruikers. Daarnaast staan er ook zeer hoge straffen bij overtreden van deze richtlijnen.

Er kan al overgegaan worden op “straffen” vanaf het moment dat je niet helder kan vertellen waarvoor je de persoonlijke gegevens nodig hebt.

De boetes zijn niet mals en kunnen oplopen tot maximum 20 miljoen euro of 4% van de jaarlijkse omzet.

Conclusie?

Het kan nogal ingewikkeld en complex overkomen als je het nu voor het eerst hoort, daarnaast lijkt het vooral veel werk om je zaak/website GDPR-compliant te maken.

Het is simpelweg belangrijk om een duidelijk plan van aanpak op te stellen en dit snel en efficient door te voeren. Zo geef je ook aan je klant de boodschap dat je zijn gegevens respecteert en belang aan hecht.

 

Heb je nog vragen over de GDPR of kan je hulp gebruiken om je website GDPR-proof te maken? Aarzel dan niet om ons te contacteren.