GDPR – 5 basisprincipes van de nieuwe EU privacy regels
Wanneer treedt de GDPR in werking?
De GDPR (“General Data Protection Regulation” of “Algemene Verordening Gegevensbescherming” (“AVG”) treedt in werking op 25 mei 2018. Je hebt dus nog even de tijd om de nieuwe privacy regels te checken en je voor te bereiden.
Lees hieronder voor de voornaamste stappen die je nu reeds kunt zetten om “GDPR compliant” te worden.
Hoge boetes: reëel risico of bangmakerij?
Het eerste waar mensen vaak aan denken i.v.m. de GDPR zijn de hoge boetes. Zijn die boetes een reëel risico voor uw bedrijf of gaat het om bangmakerij?
De GDPR voorziet inderdaad in hoge boetes bij overtreding van bepaalde privacy-regels. Die boetes kunnen oplopen tot 20.000.000 EUR (je leest dit goed: 20 miljoen euro) of 4% van de wereldwijde jaaromzet van het bedrijf.
Deze bedragen zijn astronomisch maar scheppen volgens mij een vertekend beeld van het reële risico. Een gemiddelde Vlaamse KMO zal al serieus over de schreef moeten gaan om een boete van 20 miljoen euro op te lopen. Voor de duidelijkheid: deze bedragen zijn maximumboetes. In realiteit zal een boete in verhouding staan tot de begane inbreuk en zal de Privacycommissie rekening houden met alle feitelijke elementen. De GDPR vermeldt dat de boetes zowel “doeltreffend” en “afschrikkend” als “evenredig” moeten zijn.
Toch moet elk bedrijf (ook elke eenmanszaak of zelfstandige) die persoonsgegevens verwerkt voldoen aan de nieuwe privacy regels. Dit is zelfs zo als je klantengegevens bijhoudt (bijv. email lijsten). Als je de regels niet naleeft, dan loop je het risico op een boete. Ook al zal die boete in realiteit geen 20 miljoen euro bedragen, toch wordt elke boete best vermeden. Los van het financiële risico, riskeer je ook imagoverlies bij je klanten en partners. Je doet er dus best aan om ernstig na te denken i.v.m. welke gegevens je verzamelt, of je voldoende toestemming hebt, en welke beschermingsmaatregelen je neemt.
Eerste stap: weet welke gegevens je verwerkt
Meten is weten! De eerste stap die je moet nemen in aanloop van de GDPR is in kaart brengen welke gegevens je verwerkt. Ik raad dan ook aan dat elk bedrijf een audit-procedure start om te checken:
- welke persoonsgegevens je bijhoudt
- waar die gegevens vandaan komen
- met welk doel je ze bijhoudt
- hoe lang je ze bijhoudt
- met wie je ze deelt
- wat de wettelijke grondslag is (bijv. hoe wordt toestemming bekomen?)
- welke beveiligingsmaatregelen je toepast
- enz.
Die informatie moet je opslaan in een register dat door de Privacycommissie kan opgevraagd worden. Dit register vervangt de aangifte die je vandaag moet doen bij de Privacycommissie, en dat in realiteit vaak een pure formaliteit is. In de toekomst zal de Privacycommissie je register kunnen opvragen om te checken of je adequate stappen onderneemt om de privacy en de security te waarborgen. Kan je geen register of procedure voorleggen, dan loop je een verhoogd risico op een (aanzienlijke) boete.
Bepaalde KMO’s zullen een uitzondering krijgen i.v.m. het aanleggen van een dataregister. In de praktijk is de kans dat je onder de uitzonderingen valt vrij klein. De Privacycommissie raadt aan dat je sowieso een dataregister bijhoudt. Dit lijkt mij ook de meest verstandige benadering: zo verplicht je jezelf om na te denken over je privacy en security beleid, en beperk je het risico op inbreuken of boetes.
Tweede stap: weet welke gegevens je zelf doorgeeft
Een deel van de oefening bestaat ook in het uitvoeren van een audit van je bestaande contracten met partners en onderaannemers: als je persoonsgegevens zoals namen of email adressen van klanten doorgeeft aan partners (bijv. bij outsourcing), dan moet je weten welke waarborgen je partners geven voor de bescherming van de privacy.
Als je huidige contracten onvoldoende waarborgen bieden, dan moet je die opnieuw onderhandelen. Als je dit niet doet, dan loop je zelf misschien ook een aansprakelijkheid op, zelfs als de inbreuk door je partner begaan wordt. Ik raad dan ook aan om je bestaande contracten goed onder de loep te nemen en te checken:
- welke gegevens worden doorgegeven
- wat doet je partner met die gegevens
- welke garanties worden geboden i.v.m. privacy en security
Derde stap: update je interne privacy en security procedures
De derde stap die je moet nemen is het up-to-date brengen van je interne procedures i.v.m. privacy en security. Dit hangt voor een groot deel af van de analyse van de vorige twee stappen. Hoe dichter de datum van 25 mei 2018 eraan komt, hoe verder je moet staan met de update van je interne procedures!
Concreet denk ik vooral aan volgende punten:
- Wordt toestemming of opt-in op een correct wijze bekomen? Vooraf aangevinkte vakjes zijn nu echt uit den boze! Onduidelijke of ‘wollige’ taal ook. Toestemming moet altijd via een duidelijke actieve handeling worden gegeven. Stilzwijgende toestemming kan dus niet.
- Verzamel bewijsmateriaal: Als bedrijf moet je kunnen bewijzen dat iemand toestemming heeft gegeven voor het gebruik van zijn persoonlijke gegevens. Kan je dit niet bewijzen, dan heb je een probleem. Je moet dus zorgen dat je de toestemming registreert en bijhoudt. “Accountability” is een basisprincipe onder de GDPR: kan je niet bewijzen dat je toestemming hebt gekregen of dat je de procedures naleeft, dan riskeer je een boete.
- Analyseer je emailmarketing: Zend je commerciële emails of nieuwsbrieven uit naar contacten? Dan moet je nagaan of die contacten daarvoor toestemming hebben gegeven. Hebben bestaande contacten in het verleden hun toestemming gegeven (bijv. ze hebben zelf ingeschreven op je nieuwsbrief), maar heb je daar geen bewijs meer van? Dan moet je die contacten in principe opnieuw aanschrijven om een nieuwe toestemming te bekomen (bewaar de bewijzen!). Dit wordt voor veel bedrijven een bitter pil. Je email databank zal kleiner maar relevanter worden. Denk ook na of je hiermee wil wachten tot vlak voor de inwerkingtreding van de GDPR of dit nu reeds wil doen. Uiteraard is een goede ‘unsubscribe’ ook nog steeds vereist!
- Hoe reageer je op klachten of verzoeken tot toegang tot gegevens, verbetering van gegevens, verwijdering van gegevens, overdracht van gegevens naar een andere provider, bezwaren tegen ‘profiling’ of ‘direct marketing’, enz.? Onder de GDPR krijg je als burger duidelijke rechten t.a.v. bedrijven die je gegevens verwerken. Als ‘verwerker’ moet je dus een procedure opzetten om correct en tijdig te antwoorden op zo’n verzoeken. Als je gegevens doorgeeft aan partners, zal je moeten zorgen dat aangepaste gegevens ook bij de partners aangepast worden. In principe moet je die verzoeken ook ‘elektronisch’ (niet op enkel op papier) kunnen beantwoorden. De oplossing zal bij vele bedrijven erin bestaan dat de betrokkenen zelf online hun gegevens kunnen inkijken en verbeteren/verwijderen. Uiteraard moeten dergelijke online tools voldoende beveiligd zijn…
- Hoe pak je datalekken aan? Je zal een procedure moeten opzetten om datalekken op te sporen, stop te zetten, en te rapporteren. In bepaalde gevallen (maar niet in alle gevallen) zal je de betrokkenen en de Privacycommissie moeten inlichten. Doe je dit niet (bijv. om imagoschade te voorkomen), dan riskeer je hoge boetes (en nog meer imagoschade). Heb je geen procedure om datalekken aan te pakken, dan is je risico uiteraard groter dan als je wél een procedure hebt. Een ‘datalek’ is bijvoorbeeld een geval van ‘hacking’, maar ook foutief verzonden emails met gevoelige informatie of het verlies van onvoldoende beveiligde laptops, telefoons, of usb-sticks.
- Heb je “Data Protection Officer” (en zou je die moeten hebben)? Sommige bedrijven en overheden zullen een verantwoordelijke moeten aanstellen voor de naleving van de privacywetgeving. Check of je al dan niet onder die verplichting valt. Het algemene principe is dat je onder de verplichting valt als de verwerking van persoonsgegevens deel uitmaakt van je “core business”. Ook wanneer je niet onder de verplichting valt, is het misschien toch aangewezen om iemand als ‘spilfiguur’ aan te stellen voor alle aspecten die met privacy en security te maken hebben. Die persoon kan dan bijvoorbeeld verantwoordelijk zijn voor het uitvoeren van periodieke audits van de bestaande procedures, het geven van trainingen en advies aan personeel, contactpersoon zijn voor klanten, collega’s, de Privacycommissie, enz.
- Hoe ga je om met data van minderjarigen? Kinderen krijgen een speciale bescherming onder de nieuwe GDPR regels. Als je diensten aanbiedt die gericht zijn op kinderen en gegevens van kinderen verwerkt (bijv. naam, adres, leeftijd, geslacht, enz.), dan zal je moeten bewijzen dat je de toestemming van de ouders hebt bekomen (zeker voor kinderen onder de 16 jaar). Hoe pak je dit best aan?
- Doe een risico analyse of “Privacy Impact Assessment”: Het privacy-beleid en het security-beleid van je onderneming gaan hand in hand. In bepaalde gevallen zal je een risico-analyse moeten maken i.v.m. de data die je bijhoudt. Bij het uitrollen van nieuwe projecten (bijv. als die gepaard gaan met ‘profiling’), zal het projectteam de reflex moeten maken of er al dan niet een privacy-risico bestaat en eventueel advies moeten vragen aan de Privacycommissie vooraleer het project te implementeren.
- Update je privacy policy met klanten of ‘end-users’: heb je een bestaande privacy (& cookie) policy, dan zal je die op bepaalde punten moeten aanpassen.
Neem gerust contact op voor vragen of suggesties.
Bart Van Besien
Advocaat
Recente reacties