Wat nu?

Al is de GDPR niet helemaal nieuw... In feite is deze wetgeving het resultaat van een herziening van de Europese wetgeving uit 1995: de Data Protection Directive (DPD).

De herziening was dringend nodig omdat de DPD door elke lidstaat anders werd geïnterpreteerd, dit leidde tot onduidelijkheid omtrent de privacyregels. Ook ontwikkelingen in de cloud, social media en enorme hoeveelheden data die hiermee verbonden zijn, vragen om een modernisering in de wetgeving.

Officieel zal de wetgeving van kracht gaan op 25 mei 2018, tijd genoeg zal je denken?

Het tegendeel is waar: ondernemingen die persoonsgegevens verwerken gaan best niet ondoordacht te werk. Wie de nieuwe privacy regels niet respecteert, riskeert fikse boetes.

Geldt dit dan ook voor mij?

Verwerk je persoonsgegevens van EU-burgers, dan is de GDPR van toepassing. Het registreren van IP-adressen of het gebruik van cookies, om informatie te verzamelen over bezoekers, valt dus ook onder de nieuwe privacywetgeving. Ondernemingen die namens derden, persoonsgegevens verwerken moeten ook de nieuwe privacyregels in acht nemen.

Het toepassen van de nieuwe wetgeving zal de privacy van de EU-burgers beter beschermen. Aangezien de GDPR ook geldt voor alle buitenlandse bedrijven die gegevens van EU-burgers verwerken, kunnen ook internetgiganten zoals Facebook, Google en Amazon de Europese privacywetgeving niet langer links laten liggen.

Het is natuurlijk niet enkel kommer en kwel, de nieuwe privacywetgeving geeft bedrijven ook de kans om een transparant en data-vriendelijk privacybeleid uit te voeren.

Wat verandert er dan?

Concreet zal het invoeren van de GDPR een einde maken aan automatisch ingevulde checkboxes en onduidelijke opties waarmee je bezoekers zich bijvoorbeeld onbewust inschrijven voor een nieuwsbrief. Email opt-in mag enkel via een duidelijke en bevestigende actie geactiveerd worden en moet gescheiden zijn van andere algemene voorwaarden.

Geen paniek, dit betekent niet dat er geen persoonsgegevens meer opgevraagd mogen worden. Als het verzamelen van persoonsgegevens op een begrijpelijke manier, in eenvoudige taal gebeurt zal het nog steeds mogelijk zijn deze op te vragen. Worden de gegevens gebruikt voor meerdere doeleinden? Dan moet hiervoor afzonderlijk toestemming gevraagd worden. Als organisatie ben je verplicht aan te tonen dat de bezoeker toestemming heeft gegeven. De bezoeker moet deze toestemming ook op ieder ogenblik kunnen intrekken en moet hier herhaaldelijk op gewezen worden.

Er zijn dus een aantal basisprincipes waaraan alle verwerkingen van persoonsgegevens moeten voldoen:

• Alle persoonsgegevens moeten op een gewettigde en transparante manier worden verwerkt.
• Persoonsgegevens mogen alleen voor een specifiek omschreven doel worden verwerkt.
• Alleen persoonsgegevens die relevant zijn voor het doel mogen verwerkt worden.
• Bijgehouden gegevens moeten correct en actueel zijn
• Als de persoonsgegevens niet meer noodzakelijk zijn voor het doel, moeten deze verwijderd worden.
• De persoonsgegevens moeten beveiligd worden door middel van technische en organisatorische maatregelen.
• Het verwerken van gegevens van minderjarige moet met toestemming van ouder of voogd.

En wat dan met al verkregen informatie? Ga na hoe je deze informatie hebt verkregen, is de informatievergaring in orde met de GDPR dan mag je de persoonsgegevens behouden mits goede documentatie. Zijn de persoonsgegevens verkregen door vooraf ingevulde checked boxes of andere omwegen dan zal je opnieuw toestemming moeten verkrijgen. Breng je bezoekers dus zeker op de hoogte!

Het recht om vergeten te worden

Iedere EU-burger heeft het recht om vergeten te worden. Zoekmachines zijn dus verplicht om op aanvraag van een individu, iedere hit die betrekking heeft tot de persoonlijke gegevens van het individu te verwijderen. Bijkomend is ook het recht op overdraagbaarheid van gegevens, iedereen moet zijn eigen persoonsgegevens in een gangbare elektronische vorm kunnen opvragen.

Andere rechten over de persoonsgegevens blijven onveranderd. Zo is er:

• Het recht op informatie en toegang tot persoonsgegevens.
• Het recht op bezwaar tegen directe marketingpraktijken, geautomatiseerde besluitvorming en profilering.

Heb je nog geen proces in gang gezet om bovenstaande toepassingen in goede banen te leiden? Voorzie dan een grote krachtinspanning want hier kan nog heel wat werk inkruipen. Particulieren zullen er zeker naar vragen dus denk goed na over de handelwijzes die je bedrijf zal volgen om deze tegemoet te kunnen komen.

Maar waar zijn de cookies dan?

Internetgebruikers moeten vanaf mei 2018 in hun browserinstellingen kunnen bepalen of ze privacygevoelige tracking-cookies accepteren of weigeren. Momenteel wordt deze keuze individueel per website gevraagd aan de hand van een cookie melding.

Wanneer de GDPR in werking treedt zal het plaatsen van cookies alleen zijn toegestaan als:

• Alleen gewerkt wordt met functionele cookies (dit zijn cookies die ervoor zorgen dat een website goed functioneert, bijvoorbeeld: cookies voor log-in of registratie, taalvoorkeuren).
• Analytische cookies worden toegepast puur voor eigen gebruik en niet met derden worden gedeeld (bijvoorbeeld google analytics).
• De internetgebruiker toestemming heeft gegeven in de browserinstellingen.

How to stop a leak

Alle ondernemingen zijn vanaf ingang van de GDPR verplicht om persoonlijke datalekken te melden. Het opsporen, analyseren en melden van datalekken vraagt om een aangepast beleid. Het niet voldoen aan de meldplicht kan bestraft worden met een boete bovenop de boete voor het datalek zelf.

Binnen 72 uur na het ontdekken van een datalek ben je verplicht te evalueren of er een partij op de hoogte moet gebracht worden. De mogelijke risico’s moeten case-by-case beoordeeld worden. Deze zijn namelijk afhankelijk van veel factoren, zoals de inhoud van het datalek, de aard van de organisatie en meer.

De toezichthoudende autoriteit moet op de hoogte gesteld worden als er sprake is van een datalek met mogelijke risico’s voor het betrokken individu. Het betrokken individu moet op de hoogte gesteld worden als er een groot risico is voor de rechten en de vrijheid van het individu. Dat betekent dat de drempel voor het informeren van het individu hoger ligt dan de drempel voor het informeren van de toezichthoudende autoriteit.

Het aanstellen van een Data Protection Officer of DPO kan in specifieke gevallen verplicht zijn. De DPO is een interne of externe toezichthouder op de naleving van de privacyverordening binnen een organisatie.

Time for action

Ga na waar bezoekers van je website gevraagd worden om persoonsgegevens in te geven. Is deze vraag niet dubbelzinnig gesteld en is de vraag duidelijk begrijpbaar? Ga ook na hoe de persoonsgegevens worden vastgelegd, kan je als organisatie bewijzen dat de toestemming tot het gebruik van persoonsgegevens rechtmatig verkregen is?

Heel wat informatie om te verwerken maar je staat er niet alleen voor! Heb je nog vragen, wil je weten of er iets verandert aan je website of hoe je maatregelen moet treffen?

Contacteer ons, wij bekijken graag samen alle mogelijkheden.