Heerlijk helder #9: Wat is GDPR?

25.10.2017

De nieuwe Europese wetgeving GDPR wil de privacy van de burger beter beschermen. Wat betekent dit concreet, en wat is de impact ervan op gebruikers en bedrijven? Een kort overzicht van de algemene lijnen.

1. Wat is GDPR?

GDPR staat voor General Data Protection Regulation. In het Nederlands heeft men het over AVG of Algemene Verordening Gegevensbescherming, in het Frans Règlement Général sur la Protection des Données of RGPD. Deze Europese regelgeving vervangt de Data Protection Directive 95/46/EC uit 1995.

Het is de bedoeling om de privacy van de burger beter te beschermen, en daarbij uniforme regels vast te leggen voor de hele EU. Enerzijds krijgt de burger meer controle over hoe zijn persoonlijke gegevens gebruikt worden. Anderzijds legt GDPR een duidelijke wettelijke structuur vast, een standaard die in heel Europa geldt, zodat bedrijven weten hoe zij moeten handelen om de privacy te waarborgen.

Wat GDPR concreet bepaalt leest u hier

2. Op wie is GDPR van toepassing?

Elke organisatie, elk bedrijf, elke overheid die persoonlijke data van Europese burgers verzamelt en verwerkt, moet GDPR toepassen, ongeacht het land waar het bedrijf of de organisatie gevestigd is. Een Amerikaans bedrijf dat werkt met data van Europese gebruikers moet zich dus ook aan deze regels houden. Wanneer u een fysieke of online winkel hebt en de adressen van uw klanten verzamelt om hen regelmatig een mailing te sturen per post of digitaal, bent u ook onderworpen aan GDPR.

Belangrijk hierbij is de definitie van wat persoonlijke data zijn. De regelgeving spreekt over PII of Persoonlijk Identificatie Informatie. Dat is niet alleen uw naam, adres, nummer identiteitskaart, Rijksregisternummer, geboortedatum, maar ook digitale data zoals locatie, IP-adres, cookiegegevens, RFID-tags. Gegevens over gezondheid vallen hier ook onder, evenals genetische, biometrische, raciale, etnische data, seksuele geaardheid en politieke opinie.

3. Wanneer wordt GDPR van kracht?

Deze nieuwe Europese verordening wordt op 25 mei 2018 van kracht in alle lidstaten. De regeringen van de individuele lidstaten moeten zelf geen aanvullende wetgeving invoeren - GDPR is direct bindend en van toepassing.

4. Hoe bereidt uw bedrijf zich voor op GDPR?

  • Overloop uw bedrijfsprocessen
  • Ga na welke data u verzamelt en hoe u ze bewaart. Beschikt u over de nodige bewijsstukken van de instemming van de gebruiker? Is de dataverwerking gedekt door één van de uitzonderingsgevallen waarbij geen expliciete instemming is vereist?
  • Stel een register op van hoe u gegevens verwerkt.
  • Voer een risk assessment uit: wat kan er fout lopen, en hoe kunt u dit voorkomen?
  • Leg een procedure vast voor een eventueel incident (inbraak, lek, … waardoor gegevens blootgesteld worden). Test de procedure uit.
  • Werk een proces uit voor permanente monitoring: ook in de toekomst moet uw bedrijf in regel blijven met GDPR.

5. Wat als u niet in regel bent met GDPR?

Ach, zo'n vaart zal het wel niet lopen denkt u, en  u gaat gewoon verder met reclamemails te versturen naar de adressenlijst die u op een blauwe maandag gekocht hebt? Dan zou u dat wel eens veel geld kunnen kosten!

De boetes voor wie de GDPR-regelgeving overtreedt zijn niet min. Zij kunnen 4% van de wereldwijde omzet bedragen, met een maximum van 20 miljoen euro. U doet er dan ook best aan om de GDPR-wetgeving ernstig te nemen. Dat zal, vooral in het begin, wel wat werk met zich meebrengen. Maar het grote voordeel is dat dezelfde GDPR-regels gelden voor héél Europa, en u meteen ook in regel bent met de privacywetgeving voor àlle Europese landen!

Meer informatie bij de Privacycommissie die ook een model heeft opgesteld van een register voor de verwerkingsactiviteiten.

Internet business