GDPR, voor een klare kijk op je gegevens!

Vandaag gaat de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming van kracht. En ze geldt voor iedereen: van éénmansbedrijven tot multinationals. GDPR jaagt schrik aan, maar biedt ook een unieke kans om de aanpak van de gegevensverwerking in je organisatie onder de loep te nemen …

GDPR werd op 14 april 2016 goedgekeurd door het Europees Parlement en hangt ons dus al bijna twee jaar boven het hoofd. Deze Verordening wil de wetgeving inzake de bescherming van persoonsgegevens binnen de Europese Unie versterken en harmoniseren. Iedereen praat erover, omdat alle bedrijven ermee te maken hebben. Jij ook? Inderdaad! Natuurlijk zal de impact ervan het grootste zijn voor grote groepen, overheidsorganisaties en bedrijven die zich hebben gespecialiseerd in dataverwerking. Maar ook KMO’s moeten eraan voldoen zodra ze gegevens van hun klanten, leveranciers of werknemers verzamelen en verwerken.

Such a big deal?

Er is zoveel ophef over GDPR (het aantal opleidingen en uiteenzettingen over dit onderwerp is niet bij te houden), omdat de Verordening een reeks verplichtingen invoert voor het verzamelen, opslaan, verwerken en beveiligen van persoonsgegevens. Enkele voorbeelden:

• De “minimale gegevensverwerking”: je mag niet langer proberen om zoveel mogelijk gegevens binnen te halen en te verwerken. Met andere woorden, je moet je beperken tot wat noodzakelijk is voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
• Ook principes als transparantie en beveiliging staan centraal in GDPR. Je moet dus telkens kunnen uitleggen wat je doet met de verzamelde gegevens (en waarom je dat doet) en je informaticasysteem moet betrouwbaar zijn, zodat je lekken vermijdt (waarvoor je aansprakelijk kan worden gesteld).
• GDPR bepaalt dat er zes mogelijkheden zijn om de verwerking van klantengegevens te verantwoorden. Eén ervan is de “toestemming”. Misschien vraag jij je klanten nu al om toestemming (op je website, bijvoorbeeld)? De nieuwe Verordening scherpt deze verplichting verder aan, aangezien de toestemming nu ook ondubbelzinnig moet zijn, gegeven met kennis van zaken, specifiek en expliciet.
• Het recht op “gegevensoverdraagbaarheid”: elke Europese burger mocht al eerder eisen dat zijn persoonsgegevens zouden worden gewist of rechtgezet, maar nu kan hij ook vragen dat bepaalde van die gegevens zouden worden overgezet. Je moet dus in staat zijn om die persoon een computerbestand te bezorgen (in een vaak gebruikt, “open” formaat, zoals CSV) dat al die informatie bevat.
• Vergeet verder niet dat het in bepaalde gevallen verplicht is om een verantwoordelijke voor de gegevensbescherming (data protection officer of DPO) aan te stellen, een register van de verwerkingsactiviteiten bij te houden of een impactanalyse uit te voeren.

Nooit te laat om tot actie over te gaan!

Ben je nog niet klaar voor GDPR? “Beter laat dan nooit”, zegt het spreekwoord en dus begin je er maar beter meteen aan. “Maar hoe begin ik eraan?”, zal je terecht vragen.
Het Verbond van Belgische Ondernemingen geeft 7 essentiële aanbevelingen (http://www.vbo-feb.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_nl_web-pdf.pdf)

1. Ik hou een inventaris bij van alle verwerkingen van persoonsgegevens, samen met de doelstelling die ze beogen
2. Ik verwerk de verzamelde gegevens op rechtmatige en transparante wijze
3. Ik verzamel enkel de noodzakelijke data en hou ze niet langer bij dan nodig
4. Ik tref passende veiligheidsmaatregelen om de gegevens in kwestie te beschermen
5. Ik informeer duidelijk de personen van wie gegevens worden bijgehouden
6. Ik werk een intern gegevensbeschermings- en privacybeleid uit
7. Ik duid iemand aan als verantwoordelijke voor gegevensbescherming en privacy

Maar dit klinkt allemaal nogal theoretisch … Aarzel in de praktijk niet om advies te vragen aan een jurist (voor de aspecten “naleving van de Verordening”) of aan een expert (bijvoorbeeld voor het informaticagedeelte). Je kan ook een reeks tools gebruiken, meer bepaald om een nauwkeurige diagnose van je situatie te maken. Er zijn ook professionele, maar duurdere toepassingen om je stap voor stap te begeleiden. Het aanbod ervan is zo groot, dat je beter eerst een beroep doet op een specialist (consultant, advocaat enz.), anders zie je door de bomen het bos niet meer.

Eerder wortel dan stok

Een andere “nieuwigheid” van GDPR zijn de gepeperde sancties als de voorschriften niet worden nageleefd: tot 4% van de jaarlijkse omzet. Toch mag je belangrijkste motivatie niet die “stok” zijn, maar wel een “wortel”: de kansen die GDPR biedt, zoals bij elke belangrijke wijziging. Zo krijg je opnieuw een klare kijk op je gegevens en kan je een volwaardige “data governance” op poten zetten. Met andere woorden: denk na en stel een actieplan op. Hoe verzamel en verwerk je gegevens, welke doelstellingen streef je daarbij na en hoe zit je marketingstrategie (e-mailings, nieuwsbrieven enz.) in elkaar? Dit biedt je een mooie kans om de kwaliteit van je gegevens te verbeteren en de waarde ervan te verhogen. 25 mei 2018 is dus niet alleen belangrijke deadline, maar ook het startpunt voor een nieuwe manier om met gegevens om te gaan binnen je KMO …

“Alles stroomt, niets is blijvend” — Heraclitus van Efeze