Toen een senator aan Mark Zuckerberg vroeg hoe Facebook winst maakt als zijn platform gratis is antwoordde hij doodleuk: "Senator, we run ads."
Wat nog maar eens duidelijk maakt dat in 21ste eeuw informatie het nieuwe goud is.
Ondanks de waarde van informatie, was er weinig tot geen regularisering omtrent het verzamelen, bijhouden en gebruiken hiervan. Daarom is de GDPR-wetgeving er gekomen als antwoord op dit tekort.
De GDPR-wetgeving doelt op een eerlijke, transparante manier van omgaan met persoonsgegevens. Wie verzamelt er zulke gegevens, wat doen ze er mee en hoe worden ze beschermd? Dat zijn de vragen waarop de GDPR een antwoord eist.
Wat moet u als bedrijf nu doen om GDPR-compliant te worden?
Je hebt het waarschijnlijk al wel gemerkt. Je mailbox zit vol met mails van bedrijven die hun nieuwe privacy policy linken. Je moet op elke website die je bezoekt akkoord gaan met hun cookie policy. Je mag geen nieuwsbrieven meer uitsturen als je niet de expliciete toestemming hebt van de gebruiker.
In de meeste gevallen is dit echter een over-reactie van de vele bedrijven die niet helemaal begrepen hebben waarover het gaat en zichzelf dus proberen indekken.
Iedereen wilt zo snel mogelijk in orde zijn om de zogenaamde monster-boetes te voorkomen. Maar wist je dat de privacy-commissie – het overheids-orgaan dat deze controles zou moeten controleren – zelf nog niet in orde is met de GDPR?
Om echt te weten wat je moet doen, moet je jezelf de volgende drie vragen stellen:
- Verzamel ik persoonlijke gegevens van EU-burgers?
- Voor welk doel verzamel ik deze gegevens?
- Hoe bescherm ik deze gegevens?
Lang niet voor alle gegevens die je verzamelt heb je toestemming nodig. Je verzamelt bijvoorbeeld de contact-gegevens van je werknemers, deze heb je nodig als werkgever (hoe kan je hen anders uitbetalen) en hiervoor heb je dus geen toestemming nodig, het is zelfs wettelijk verplicht dit voor een bepaalde termijn bij te houden. Ook van je klanten mag je gegevens bewaren zonder hun toestemming, hoe kan je anders zorgen dat ze hun pakketje op het juiste adres krijgen of dat je hun factuur kunt toesturen?
Je mag alleen niet deze gegevens misbruiken voor andere doeleinden. Zo zal eerder genoemde klant misschien geen nieuwsbrief willen ontvangen, enkel en alleen omdat hij ooit eens een bestelling bij je deed.
Wanneer heb je dan wel toestemming nodig ?
Enkel wanneer je de gegevens niet nodig hebt voor het uitoefenen van je bedrijfsactiviteiten heb je toestemming nodig om deze te verzamelen.
Dit kan bijvoorbeeld een nieuwsbrief zijn, maar zelfs dat is niet altijd het geval. Je mag namelijk persoonsgegevens bewaren wanneer je hiervoor een gerechtvaardigd belang kan aantonen. Met andere woorden, als je kan uitleggen waarom het voor jou bedrijf belangrijk is om deze gegevens te hebben en dit opweegt tegen de impact die het heeft op de eindgebruiker. Als deze nieuwsbrief dus een belangrijk onderdeel is van de marketing-strategie van je bedrijf, kan dit zwaarder wegen dan het ongemak van de gebruiker die eens per maand een mailtje krijgt. Zeker als het duidelijk en eenvoudig is voor deze gebruiker om zich uit te schrijven van de mailing-lijst.
Hoe krijg je toestemming?
Heb je wel toestemming nodig, dan moet je die vrijelijk, specifiek, geïnformeerd en ondubbelzinnig vragen. Met andere woorden, de klant moet weten waarmee hij toestemt en mag hiertoe niet gedwongen worden.
Bezocht u onlangs een website waar u eerst akkoord moest gaan met de nieuwe cookie-policy voor u verder kon gaan? Wel dan was dat dus niet rechtsgeldig want je werd gedwongen deze te aanvaarden voor je gebruik kon maken van hun diensten.
Een leeg vakje om aan te vinken of een handtekening op een blad papier is in principe voldoende om toestemming te krijgen. Betekent dat, dat u nu een checkbox aan al uw formulieren moet toevoegen?
Nee, als er op uw website een blokje staat met: “Schrijf u in op onze nieuwsbrief.” Met daarnaast een invulveld voor het email-adres; dan is dit transparant en duidelijk voor de klant, het invullen van zijn mail en klikken op de button is duidelijk toestemming.
Oude verzamelde gegevens
Wat met uw oude verzamelde gegevens, zijn die nog in orde?
Het antwoord is eenvoudig, zijn de gegevens in die lijsten bekomen op een eerlijke, transparante manier zoals hierboven beschreven? Dan is er geen probleem.
Twijfelt u toch nog, dan is het best en eenvoudig om de gebruikers nogmaals hun toestemming te vragen.
Wat als ik de gegevens wil delen?
Het is maar logisch dat u de verkregen gegevens wilt delen met andere partijen. Denk maar aan het bedrijf dat uw werknemers uitbetaald; het bedrijf waar de gegevens gehost worden; het bedrijf dat de pakjes van bestellingen verstuurt, …
Deze partijen zijn allemaal verwerkers van de persoonsgegevens waarvoor u de eindverantwoordelijke bent. Met hen dient u een verwerkers-overeenkomst op te stellen die aangeeft wat er met de gegevens zal gebeuren en hoe ze beschermd zullen worden.
In principe bent u zelf verantwoordelijk voor het opstellen van deze overeenkomst; maar grote bedrijven zullen u vaker wel dan niet hun eigen exemplaar aanbieden. Denk maar aan de post, die gaan niet voor elk bedrijf dat een pakje wilt versturen een nieuwe verwerkers-overeenkomst lezen.
In andere gevallen gebeurt dit best in onderling overleg.
Wat dan als iemand onrechtmatig toegang krijgt?
Een data-lek leidt niet per se naar een sanctie. Als je kan aantonen dat je bedrijf de GDPR-richtlijnen volgt en veilig omspringt met gevoelige data is het voldoende dit tijdig te melden aan de privacy commissie.
Het wel of niet melden van een lek hangt af van de ernst van het lek, hoe gevoelig is de informatie en hoe waarschijnlijk is het dat dit lek misbruikt werd? Een email naar een verkeerd persoon sturen is namelijk ook een lek, maar niet iets waarmee je de privacy commissie moet storen.
Echte data-lekken moet je echter verplicht melden, dit binnen de 72 uur nadat je het lekt hebt ontdekt.
Werd het lek ontdekt door één van de partijen die voor jou met deze data werken, gaan de 72 uur in nadat deze partij het lek aan jou gemeld hebben. Bovendien zijn zij verplicht te melden hoe het lek is kunnen gebeuren en advies te geven om dit verder te voorkomen.
Nog enkele tips...
Data-register
Dit is een omschrijving van alle data die u bijhoudt. Per doelgroep (bvb klanten, werknemers, prospecten, ...), voorziet u een omschrijving van de bijgehouden gegevens, waar ze bijgehouden worden, hoe lang en hoe u ze beschermt.
Register van verwerkers
Een overzicht van partijen met wie u samenwerkt en deze vertrouwelijke gegevens deelt. Bijvoorbeeld het hosting-bedrijf waar uw gegevens opgeslagen worden, het bedrijf dat uw nieuwsbrief-mailings maakt, het bedrijf dat uw boekhouding doet, …
Dit moet niet specifiek en op naam gebeuren, gewoon een omschrijving van type bedrijf en een reden waarom ze toegang hebben tot deze gegevens is voldoende.
Incidenten-register
Als er dan toch iets mis gaat, houdt dit bij in een incidenten-register. Omschrijf het incident, de ernst, de gelekte data, of het incident gemeld is en hoe in de toekomst dit kan vermeden worden.
Data Protection Officer
Een DPO is enkel verplicht voor overheidsbedrijven of bedrijven die het hun primaire bezigheid maken gevoelige informatie te verzamelen. Een DPO in zo'n bedrijf dient onpartijdig het naleven van de GDPR in de gaten te houden.
Toch kan het interessant zijn voor andere bedrijven om een werknemer een gelijkaardig takenpakket te geven. Zonder de officiële DPO titel kan deze zich bezig houden met het papierwerk uit bovenstaande suggesties.
Een data-lek procedure
Geen enkel systeem is onfeilbaar, dus voorzie een procedure in het bedrijfsreglement wat er moet gebeuren in geval van een data-lek.
Intern data-beleid
Er zijn verscheidene manieren om data-lekken te voorkomen, zoals wachtwoorden en veiligheidsmaatregelen. Zorg voor een goede interne regelgeving en voeg deze toe aan het bedrijfsreglement.