Wat is GDPR?
GDPR of de ‘General Data Protection Regulation’ is de Europese verordening die de problematiek en het wettelijk kader van de verzameling, opslag en gebruik van persoonlijke gegevens behandelt.
GDPR verandert significant de manier waarop bedrijven consumentengegevens kunnen gebruiken. Het is bijgevolg belangrijk om de impact van deze nieuwe regelgeving goed te begrijpen en de regels correct te implementeren.
Wanneer en voor wie geldt GDPR?
De GDPR regelgeving gaat in op 25 mei 2018 en is van toepassing op alle bedrijven die gevestigd zijn in de EU voor alle persoonsgegevens (ook die van personen buiten de EU) en op bedrijven gevestigd buiten de EU en die persoonsgegevens verwerken van personen uit de EU.
Wat zijn persoonsgegevens volgens GDPR?
De definitie van persoonlijke data in GDPR is erg ruim: persoonsgegevens zijn alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een id zoals een naam, een identificatienummer, locatiegegevens, een online identificator (bvb IP-adres) of van een of meer elementen die kenmerkend zijn voor de identiteit van die natuurlijke persoon. De identificatie kan mogelijk zijn met eigen of externe gegevens, nu of in de toekomst.
Wat zijn de GDPR basisprincipes ?
GDPR is gebaseerd op 4 pijlers:
Transparantie: bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.
Verantwoording: bedrijven zijn verplicht om verantwoording af te leggen voor de verwerking van persoonsgegevens.
Consumentenrechten: GDPR introduceert het recht om vergeten te worden, het recht op overdraagbaarheid van gegevens en het recht om zich te verzetten tegen profilering.
Meldplicht: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur.
Is toestemming van de consument altijd nodig ?
Wanneer u als bedrijf persoonsgegevens gebruikt of verwerkt vraagt u waar mogelijk toestemming aan de betreffende personen (opt-in).
In een aantal gevallen is het niet nodig om de toestemming te vragen: het hebben van een overeenkomst of de noodzaak om over de data te beschikken om een overeenkomst te kunnen uitvoeren; legitiem, vitaal of publiek belang; een wettelijke basis (bvb. HR & finance).
Gerechtvaardigd belang (legitimate interest) is in een mogelijk alternatief voor toestemming. Dit kan bijvoorbeeld ingeroepen worden om nieuwe klanten te werven via direct marketing.
Wat zijn de rechten van de consument ?
De GDPR-wetgeving geeft de consument nieuwe rechten:
Recht op gegevenswissing: elke persoon heeft het recht te eisen dat u de persoonlijke data waarover u beschikt, wist. Andere wetten die u verplichten bepaalde data te bewaren gaan voor op deze regel. Ook soms recht op vergetelheid genoemd.
Recht op informatie: elke persoon heeft het recht heeft om op de hoogte te zijn van: welke data u over hem of haar verzamelt; waarvoor u deze data gebruikt; hoe lang u de data bewaart; welke rechtsgrond aan de basis ligt; hoe gebruik maken van andere rechten, zoals het recht om zijn data te raadplegen, te laten verbeteren, … Wanneer u toestemming vraagt moet deze informatie ook vermeld staan op de plaats waar u de toestemming vraagt.
Recht op inzage: elke persoon mag vragen hem te tonen over welke gegevens het exact gaat. U bent dan verplicht alle informatie die u heeft met de persoon te delen. Uiteraard is het van belang om de identiteit van de aanvrager te controleren.
Recht op overdraagbaarheid: elke persoon van wie u gegevens hebt verzameld, mag deze in elektronisch formaat (een xls, txt of csv bestand bijvoorbeeld) opvragen of laten doorsturen naar een nieuwe leverancier.
Recht op rectificatie: elke persoon heeft het recht om verbetering van zijn gegevens te vragen. Als bedrijf bent u dan verplicht deze te verbeteren voor u de gegevens opnieuw gebruikt.
Recht op verzet: elke persoon heeft het recht om zich te verzetten tegen het gebruik van zijn gegevens. Hij kan ook vragen bv. geen profilering (o.a. segmentatie) of automatische verwerking op zijn gegevens toe te passen.
Mogen data hergebruikt worden voor andere doeleinden ?
Data mogen alleen gebruik worden voor de doeleinden die is aangekondigd bij het verzamelen van de data. Deze gegevens mogen niet hergebruikt worden voor andere doeleinden en ook niet doorgeven worden aan andere partijen. Indien u de data met een derde partij zou delen moet u hiervoor steeds toestemming vragen(tenzij het is om ze te laten verwerken door een verwerker)
Wat gebeurt er als de GDPR niet wordt nageleefd?
Bedrijven die aan de GDPR verzuimen, stellen zich bloot aan boetes. Wanneer de verzamelde data niet correct wordt beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet.
Bedrijven die data verwerken voor andere bedrijven kunnen echter nog andere gevolgen ondergaan: zij zullen namelijk gecontroleerd worden door hun opdrachtgever. Die mag enkel samenwerken met bedrijven die aan de GDPR voldoen. Het niet compliant zijn betekent mogelijks niet meer kunnen werken voor bepaalde klanten.
Welke concrete stappen moet ik nu nemen?
1) Maak uw huidig CRM-systeem GDPR-compliant
Indien u nooit een opt-in hebt gevraagd bent u in principe verplicht toestemming te vragen voor 25 mei 2018. Indien u niet opnieuw een toestemming vraagt moet er een andere rechtsgrond (contract, gerechtvaardigd belang, …) zijn om de gegevens te mogen bewaren.
2) Publiceer een transparante politiek
Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier. Publiceer uw privacy-politiek o.a. op uw website.
3) Vraag vanaf nu telkens toestemming waar nodig
Zorg ervoor dat, telkens wanneer u persoonsgegevens verzamelt, u de uitdrukkelijke toestemming vraagt van de persoon om deze data te gebruiken. Specifieer duidelijk de doeleinden waarvoor u deze data wil gebruiken en verwijs naar uw privacy-politiek.
4) Maak duidelijke interne procedures
GDPR vereist een aantal interne procedures. Bijvoorbeeld hoe personen met data moeten omgaan, wie tot wat toegang heeft, hoe gegevens beschermd worden, wat te doen bij datalek, enzovoort. In bepaalde gevallen is het ook nodig een risico-evaluatie te doen en registers bij te houden bij dataverwerking. Zorg ervoor dat deze procedures uitgeschreven zijn, gecommuniceerd worden aan uw medewerkers en toegepast worden.
5) Herzie uw contracten met uw leveranciers
Het is belangrijk om aandacht te besteden aan de relatie met uw leveranciers die eventueel in uw naam data zouden verwerken. Denk aan een evenementenfirma die de gepersonaliseerde toegangskaarten voor uw evenement maakt, of uw communicatiebureau die uw gegevens verwerkt voor een specifieke campagne. Met deze verwerkers moet je een specifiek contract opstellen voor de transfer van persoonsgegevens in lijn met de GDPR.
Wat met direct marketing acties?
Onder bepaalde voorwaarden kan de verwerking van persoonsgegevens ten behoeve van direct marketing worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.
In concreto stelt de GDPR-wetgeving dat om het gerechtvaardigd belang in te roepen, er een evenwicht moet aangetoond zijn tussen de belangen van het individu en die van uw bedrijf, alsook een redelijke verwachting vanuit het individu dat hij of zij zal gecontacteerd worden door het bedrijf voor direct marketingdoeleinden.
UBA publiceerde in dit kader een GDPR transparantie charter die de randvoorwaarden hiervoor verduidelijkt.