De GDPR, of de nieuwe Europese regelgeving die de privacywetgeving binnenkort aanzienlijk zal verstrengen, zorgde al voor heel wat opschudding. Iedereen weet er iets van, maar bijna niemand lijkt het volledig verhaal te kennen.
Wij vertellen je alvast graag wat de General Data Protection Regulation is en welke gevolgen die heeft voor jou als zelfstandig ondernemer.
Wat betekent GDPR en welke doel heeft het?
De General Data Protection Regulation wordt meestal afgekort tot GDPR. Soms kom je ook de term AVG tegen. Die staat voor het Nederlandstalige synoniem Algemene Verordening Gegevensbescherming. De nieuwe Europese regelgeving gaat over de bescherming van persoonsgegevens die bedrijven verwerken.
Het doel van de GDPR is dubbel: enerzijds wil het de privacy van Europese burgers vrijwaren, anderzijds wil het de burgers meer rechten geven over wat er met hun persoonsgegevens gebeurt.
De regelgeving is opgebouwd rond 4 pijlers:
1. TOESTEMMING
Toestemming is één van de rechtsgronden die je kan gebruiken om persoonlijke gegevens te verzamelen en verwerken, naast bijvoorbeeld de uitvoering van een overeenkomst of een wettelijke verplichting. Toestemming vereist een actieve handeling en moet op een vrije, geïnformeerde, ondubbelzinnige en specifieke manier geformuleerd zijn. Als bedrijf of organisatie moet je nadien bovendien kunnen bewijzen dat je de toestemming kreeg om gegevens te verzamelen of verwerken.
2. MELDINGSPLICHT
Is er iets misgelopen en heb je als zelfstandig ondernemer te kampen met een datalek? Dan moet je dit binnen de 72 uur melden aan de autoriteiten, tenzij het lek geen gevaar betekent voor de persoonsgegevens. De meldingsplicht stopt daar echter niet. Je bent namelijk ook verplicht om het datalek binnen de 72 uur te melden aan ‘het slachtoffer’ of de betrokkene als je zelf van mening bent dat er een groot risico is voor zijn privacy.
3. TRANSPARANTIE
Je zal naar je klant toe open moeten zijn en op een simpele manier uitleggen op welke manier je zijn of haar data verzamelt en verwerkt.
4. RECHT OM VERGETEN TE WORDEN
Je klant kan vragen om vergeten te worden. In bepaalde gevallen heeft je klant hier onder de nieuwe regelgeving recht op. Voldoet je klant aan deze voorwaarden, dan ben je als ondernemer vanaf de ingang van de nieuwe regels verplicht om dit verzoek in te willigen en al zijn of haar persoonsgegevens te verwijderen.
Wat zijn persoonsgegevens concreet?
Binnen de GDPR draait alles rond de term ‘persoonsgegevens’. Maar wat houdt dat eigenlijk in?
Een Excelbestand waarin je al je bestellingen noteert, een lijst met e-mailadressen voor de mailings of nieuwsbrieven die je verstuurt, een database met klantengegevens … Het zijn stuk voor stuk voorbeelden van containers met persoonsgegevens.
Vooraleer je de nieuwe regelgeving kan naleven moet je natuurlijk weten wat de wet precies onder persoonsgegevens verstaat. Elke vorm van informatie die rechtstreeks of onrechtstreeks te koppelen valt aan een individu en betrekking heeft op zijn persoonlijk, professioneel of publiek leven, valt onder de noemer persoonsgegevens. Denk daarbij aan een naam, e-mailadres, foto, medische gegevens, financiële gegevens, maar ook een IP-adres …
Wie is er onderworpen aan de nieuwe regels?
Iedereen die persoonsgegevens verwerkt in zijn onderneming zal de nieuwe regels moeten volgen. Dat betekent dus: zo goed als iedereen. Vanaf het moment dat je bijvoorbeeld bestellingen opneemt en de gegevens ervan opslaat in een document, ben je al gegevens aan het verwerken. Van slager tot websiteontwikkelaar: niemand ontsnapt aan de GDPR.
Wat is een DPO en moet ik er een aanstellen?
Een Data Protection Officer (DPO) is de persoon binnen je organisatie die erop toekijkt of je wel correct met persoonsgegevens omgaat, zoals de GDPR oplegt. Je DPO heeft een aantal specifieke verantwoordelijkheden:
- Je onderneming informeren en adviseren over de rechten en plichten rond de GDPR
- Je onderneming helpen om GDPR-compliant te worden
- Controleren of je onderneming de wetgeving naleeft
- Contact onderhouden met externe autoriteiten
Niet elke onderneming moet een DPO aanstellen. Enkel bedrijven die voldoen aan één van de volgende criteria zijn verplicht om een DPO in dienst te nemen:
- Het bedrijf doet op grote schaal verwerkingen waarbij personen geobserveerd worden (bv. bewakingscamera's in openbare ruimten of het online tracken van personen)
- De organisatie verwerkt grootschalig bijzondere categorieën van gegevens of gegevens met betrekking tot strafrechtelijke feiten
- Publieke autoriteiten of overheidsinstanties
Hoe pas ik als zelfstandige mijn onderneming aan aan de GDPR?
Je kan in de eerste plaats vertrekken van het 13-stappenplan van de Privacycommissie om enkele concrete maatregelen te nemen. Daarnaast zijn er een aantal quick-wins waarmee je meteen aan de slag kan:
1. Analyseer je data
Breng in kaart over welke data je allemaal beschikt, maar ook hoe en waar je die bewaart. Je zal snel schrikken van de hoeveelheid data: denk maar aan je klantengegevens, een facturatiesysteem, misschien een HR-tool om de lonen van je medewerkers te beheren, een tool om e-mails te uit te sturen naar je klanten …
2. Bepaal de aard van de gegevens die je gebruikt
Sommige gegevens zijn gevoeliger dan andere. Daarom kan je best ook een categorie toekennen aan je verzamelde gegevens. Voorbeelden van erg gevoelige gegevens zijn: medische gegevens, gegevens van minderjarigen, strafrechtelijke gegevens, het rijksregisternummer …
3. Denk na over de bescherming van je data
Zijn de gegevens die je bezit wel goed beschermd en op welke manier verloopt die bescherming? Sta daarnaast ook even stil bij de beveiliging van je website. Wie heeft bijvoorbeeld toegang tot de paswoorden die je gebruikt? Is je website wel voldoende beschermd tegen inbreuken van buitenaf?
4. Documenteer alles wat je doet omtrent de GDPR
Houd alle stappen die je onderneemt om in orde te zijn met de GDPR goed bij. Zo kan je de bevoegde instanties duidelijk tonen dat je moeite doet om te voldoen aan de nieuwe regelgeving.
Neem zeker de volgende zaken mee in je verslag:
- opleidingen die je gevolgd hebt over de GDPR;
- aanpassingen die je gedaan hebt om je data te beschermen;
- een plan van je ict-infrastructuur;
- overzichtslijsten van tools waarmee je werkt.
Dit artikel werd integraal, met toestemming, overgenomen van de blog van Zenito, een dienstengroep die ondernemers begeleidt (ondernemingsloket, sociaal verzekeringsfonds en aanvullend pensioen). U kan meer info over de GDRP vinden op hun blog, alsook uitgebreide kennisartikels op de site van Unizo