Op 25 mei 2018 gaat de nieuwe Europese wetgeving over het beschermen van persoonsgegevens van kracht in alle Europese lidstaten. De General Data Protection Regulation of kortweg GDPR geldt voor álle Europese bedrijven, ongeacht hun sector of omvang. Heeft u al stappen ondernomen om verzamelde data te beveiligen? De boetes zijn niet mals. Specialisten van Cranium Services, CLB ICT & Hosting en Gevaco leggen alles haarfijn uit.
Wat?
Bedrijven zijn door de nieuwe wetgeving verplicht om persoonsgegevens optimaal te beschermen.
Voor wie?
Voor alle Europese bedrijven, ongeacht hun sector of omvang. Elke onderneming die op een geautomatiseerde of gestructureerde manier persoonlijke gegevens van EU-burgers verzamelt, bezit of verwerkt, is verplicht om zich aan de nieuwe GDPR-regelgeving te houden.
Waarom?
GDPR is in het leven geroepen om de persoonsgegevens van EU-burgers beter te beschermen. Het gaat om alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.
Wanneer?
De GDPR is in principe op 24 mei 2016 in werking getreden, maar er is een overgangsperiode van twee jaar voorzien. Bedrijven en organisaties krijgen dus tot 25 mei 2018 de tijd om zich aan de nieuwe eisen aan te passen.
Boete?
Wie de GDPR niet naleeft, riskeert boetes die kunnen oplopen tot 4% van de globale jaaromzet met een maximum van 20 miljoen euro. De Belgische Privacycommissie kan nog andere maatregelen opleggen; bijvoorbeeld een tijdelijk verbod van dataverwerkingsactiviteiten. Dat heeft vaak een nog grotere impact dan de geldboete.
Datalek?
Bij een eventueel datalek bent u verplicht om dat binnen de 72 uren te communiceren aan alle betrokken partijen. Hierin moet sowieso omschreven staan welke gevolgen het lek heeft en welke maatregelen u als bedrijf neemt. De Privacycommissie kan op dat ogenblik een audit verplichten of zelfs de verwerking van data tijdelijk onderbreken.
Nog meer weten?
www.eugdpr.org www.privacycommission.be www.gdpr.be
Hoe maakt u uw bedrijf GDPR compliant?
“De EU heeft geen uniform stappenplan voor bedrijven voorzien om volledig in orde te zijn met GDPR”, zegt Koen Mathijs, Senior Privacy and Data Protection Consultant bij Cranium. “Dat is ook onmogelijk omdat elk bedrijf zo ontzettend verschillend is. Om u op weg te helpen, reiken we wel enkele handvaten aan.”
Inzicht
“In eerste instantie is het belangrijk om te achterhalen welk soort gegevens uw bedrijf verzamelt. Gaat het wel degelijk om persoonsgegevens, misschien zelfs gevoelige persoonsgegevens? Bij grote bedrijven is een audit een must.”
Data opvragen
“U mag niet zomaar álle gegevens opvragen. Wilt u een klantenkaart aanbieden? Dan kan de geboortedatum misschien nog relevant zijn voor een verjaardagsactie, maar gegevens die u niet nodig hebt, mag u simpelweg niet vragen. Bij het inschrijven voor een nieuwsbrief is een telefoonnummer bijvoorbeeld overbodig.”
Duidelijk communiceren
“U moet uw klanten altijd op de hoogte brengen van wat u precies met de gegevens doet of in de toekomst gaat doen. In verstaanbare taal, op het niveau van de gebruiker.”
Beveiligen
“Volgens de GDPR bent u bovendien verplicht om de gegevens op een ‘adequate manier te beveiligen’. Zo worden gegevens best versleuteld wanneer het risico te hoog blijft. De EU kan echter niet aangeven met welk type encryptie.”
Lokaliseren
“Waar zitten alle data? En wie heeft toegang tot die database? Afhankelijk van de gevoeligheidsgraad van de data is een logboek noodzakelijk. Kwestie van te kunnen achterhalen welke persoon afgelopen vrijdag om 14:53 de database geraadpleegd heeft.”
Verzoek tot toegang
“Een klant moet op elk ogenblik inzicht in de verzamelde persoonsgegeven kunnen krijgen. Hij of zij mag zijn gegevens zelfs laten overdragen of verwijderen.”
Wat is gevoelige data?
- Medische informatie
- Data over ras of etnische afkomst
- Politieke opvattingen
- Religieuze of levensbeschouwelijke informatie
- Lidmaatschappen van vakbonden
- Genetische data
- Biometrische gegevens
- Gegevens over seksueel gedrag of geaardheid
Wat is gevoelige data?
- Gegevens van kinderen jonger dan 16 jaar
- Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten
Heb ik een Data Protection Officer nodig?
Zodra de verordening in mei 2018 effectief van kracht gaat, zullen sommige bedrijven iemand moeten aanstellen die erop toeziet dat de verwerking van de persoonsgegevens binnen het bedrijf conform de privacyregels gebeurt. Zo’n Data Protection Officer (kortweg DPO, nvdr.) kan intern of extern aangesteld worden. “Niet elk bedrijf is verplicht om een DPO in dienst te nemen. Er zijn een aantal voorwaarden die de Europese Unie daarvoor oplegt”, zegt Edwin Bollen, zaakvoerder van CLB ICT & Hosting uit Alken. “Alles start eigenlijk met bewustwording. Daarna volgt de inventarisatie. Als u medische gegevens of andere gevoelige data beheert of verwerkt, heeft u wel degelijk een (freelance) DPO nodig. Hij of zij maakt een overzicht van welke data er verzameld, beheerd en verwerkt worden. Daarna volgt een uitgebreide data mapping: hoe worden de gegevens opgeslagen, waar bevinden zich alle data, welke beveiligings- en encryptiemethodes worden gebruikt en wie heeft er allemaal toegang tot de gegevens. Wij raden aan om logsoftware te installeren. Op die manier kunt u bij een eventuele breach altijd aantonen wat u zelf hebt gedaan om de gegevens te beveiligen.”
Heel wat bedrijven stellen zich de vraag of die sancties wel degelijk opgelegd zullen worden. Het doet een beetje denken aan de witte kassa’s in de horeca. “In Artikel 83 van de GDPR staat vermeld dat er bij een ernstige inbreuk een administratieve geldboete van maximaal 4% van de globale jaarlijkse omzet of 20 miljoen euro geëist kan worden”, verduidelijkt meester Michiel Beutels, van Gevaco Advocaten. “De geldboete zal echter afhankelijk zijn van de aard, ernst en duur van de inbreuk. Er wordt daarnaast vermeld dat de administratieve geldboete doeltreffend, evenredig en afschrikkend moet zijn. Dat betekent onder meer dat kapitaalkrachtige bedrijven niet zomaar hun schulden kunnen afkopen. De toezichthoudende autoriteit zal wellicht starten met waarschuwingen en aanmaningen.”
En de Belgische Privacywet dan?
“Er was voorheen al wetgeving, met name de Belgische Privacywet van 1992 en de Europese databeschermingsrichtlijn van 1995”, zegt meester Michiel Beutels van Gevaco Advocaten uit Beringen. ”Maar die was al meer dan 20 jaar oud en dus behoorlijk verouderd gelet op onder meer de digitalisering en globalisering van onze maatschappij. Daarnaast is de GDPR als verordening, in tegenstelling tot de vroegere richtlijn, een bindend wetgevend instrument op Europees niveau dat meteen rechtstreeks van toepassing is in alle lidstaten. Het doel? Een meer doorgedreven bescherming van persoonlijke gegevens van EU-inwoners verzekeren door die bescherming te moderniseren en uniformiseren.”