Weetje: de naam van die nieuwe Europese privacywetgeving is ‘GDPR’ ofwel ‘General Data Protection Rule’. In het Nederlands klinkt dat: ‘AVG’ of ‘Algemene Verordening Gegevensbescherming’.
U kunt en moet heel wat doen om uw bedrijf of vereniging in orde te stellen. Hieronder vat ik het complexe GDPR-verhaal samen in vier zaken om rekening mee te houden:
1. Zelfkennis
De GDPR-wetgeving maakt u verantwoordelijk voor het beschermen en veilig houden van persoonsgegevens door de eventuele risico’s te beheersen. Eerst moet u natuurlijk weten welke data er circuleren binnen uw organisatie. Maar u zal ook moeten inschatten wat het risico is dat deze data in onbevoegde handen terechtkomen of verloren geraken, en hoe ernstig de mogelijke gevolgen van zo’n ‘gegevenslek’ zijn.
Bijvoorbeeld: uw smartphone geeft toegang tot een cloudbestand waarop de namen, contactgegevens en bankgegevens van uw klanten staan. Als u uw smartphone vergeet in een shoppingcenter, kan de vinder gemakkelijk uw PIN-code ‘1234’ raden en toegang krijgen tot die data. U zal extra beveiligingsmaatregelen moeten nemen.
Maak dus eerst en vooral een stand van zaken op binnen uw bedrijf: van wie verwerkt u welke data, waar komen ze vandaan, waarom hebt u deze nodig, waar en hoe bewaart u de data, wie heeft er toegang toe, welke bewaartermijn hanteert u, enz. Op basis daarvan kan u verdere organisatorische en technische veiligheidsmaatregelen nemen. Betrek dus zeker uw IT-specialist(en) bij de GDPR-oefening.
Bijvoorbeeld: een studente zal u deze zomer helpen bij administratief werk. U geeft haar een aparte login en paswoord voor uw intranet, en verwijdert deze account zodra de studentenjob afgelopen is.
Registreer zeker de stappen die u neemt. Hiermee toont u aan de Gegevensbeschermingsautoriteit, kortweg GBA, dat u databescherming serieus neemt. De GBA raadt ook aan dat elke werkgever het resultaat van die oefening noteert in een verwerkingsregister, ook wel data register genoemd.
Tip: de Gegevensbeschermingsautoriteit stelt een gratis verwerkingsregister ter beschikking op haar site, maar er bestaan ook andere, vereenvoudigde modellen voor KMO’s. Welk register u ook gebruikt, vergeet zeker niet om dit te updaten telkens er iets verandert aan uw situatie.
2. Uw klanten & prospecten
Door de nieuwe regelgeving krijgen uw klanten en prospecten meer controle over hun persoonsgegevens, en die rechten moet u hen kunnen verzekeren. Vooreerst moet u elke betrokkene spontaan informeren over de data die u verzamelt, hoe u daar mee omgaat en welke rechten men hierbij heeft. In elke communicatie gebruikt u liefst duidelijke en eenvoudige taal en vermijdt u te lange, weinigzeggende of dubbelzinnige teksten. De GDPR noemt dit de ‘transparantieplicht’.
Tip: u maakt best een privacyverklaring op maat van uw organisatie. Daarin neemt u de verplichte info op in een tekst die eenvoudig leesbaar en onmiddellijk begrijpbaar is. Voor gegevens van kinderen, gebruikt u taal die aangepast is aan de leeftijd.
Naast spontaan informeren, moet u ook voldoende reactief zijn wanneer personen hun rechten willen uitoefenen. En dat zijn er heel wat: recht van inzage, verbetering van gegevens, het recht om vergeten te worden, recht op overdraagbaarheid, recht op verzet … Duid dus binnen uw organisatie iemand aan die de privacyvragen van klanten tijdig onderzoekt en beantwoordt. De nieuwe regels vragen namelijk dat u zonder vertraging en ten laatste binnen 1 maand gevolg geeft aan de verzoeken van uw klanten. Uiteraard kan u sommige verzoeken ook weigeren, zoals ongegronde en buitensporige vragen, of verwijderingsverzoeken die in strijd zijn met uw wettelijke bewaringsplicht.
Tip: u kan enkele standaardbrieven voorbereiden, zodat u vlot kan reageren op privacyvragen.
Tot slot nog een woordje over toestemming. Wanneer klanten of prospecten u toestemming geven, hebt u een geldige reden in handen om persoonsdata te verwerken. Wel moet u kunnen bewijzen dat er actief en bewust werd toegestemd. U mag geen toestemming afleiden uit onopvallende kleine lettertjes, vooraf aangekruiste hokjes, of een niet-reageren. Weet ook dat iemand zijn toestemming op elk moment kan intrekken voor de toekomst.
Tip: gebruik toestemmingsformulieren waarin u duidelijk zegt voor welke gegevens en doeleinden u toestemming vraagt. Doe dit ook voor bestaande klanten – mocht dat nog niet gebeurd zijn – en documenteer alles goed! Bij kinderen onder de 16 jaar moet u de toestemming van de ouders vragen.
Wist u trouwens dat er naast toestemming nog andere ‘rechtsgronden’ bestaan zoals de uitvoering van een contract (vb. facturatie- en leveringsgegevens) of wettelijke verplichtingen (vb. informatie delen met de overheid)?
3. Uw leveranciers
In het GDPR-verhaal spreekt men over eindverantwoordelijken en onderaannemers, oftewel ‘verwerkingsverantwoordelijken’ en ‘verwerkers’. Verwerkingsverantwoordelijken mogen enkel verwerkers inschakelen die veilig zullen omgaan met de data die ze ontvangen binnen hun opdracht. Wanneer u dus persoonsgegevens moet delen met uw leveranciers, is het noodzakelijk om in het contract de nodige veiligheidsmaatregelen af te spreken.
Tip: zowel aan bestaande als nieuwe dienstcontracten kan u een bijlage toevoegen, genaamd ‘verwerkingsovereenkomst’.
De verwerkingsverantwoordelijke kan hier om vragen, of de verwerker kan dit zelf voorstellen om aan te tonen dat hij/zij de GDRP naleeft.
4. De Gegevensbeschermingsautoriteit
Het sluitstuk van dit alles is uw contact met de Gegevensbeschermingsautoriteit. U moet als ondernemer zo elk ‘datalek’ melden waarbij de kans bestaat dat personen schade zullen lijden. Bij datalek denkt u wellicht aan virussen, hackers of ransomware. Maar ook diefstal van een laptop, verlies van een onbeveiligde USB-stick… worden als datalek gezien. Na uw melding aan de GBA – die binnen 72 uur moet gebeuren – kan u gevraagd worden om ook de betrokken personen te informeren wanneer het risico op schade hoog is.
Tip: bereid een modelcommunicatie voor om datalekken te melden aan betrokkenen. De melding aan de GBA zelf gebeurt via een online formulier op de site van de commissie.
Sommige organisaties moeten ook een DPO (Data Protection Officer) aanstellen. Die heeft als taak om contactpersoon van de GBA te zijn en er over te waken dat de organisatie data verwerkt in lijn met de GDPR-regels. Of u een DPO nodig heeft, hangt af van uw kernactiviteit. U moet enkel een DPO aanstellen als u hoofdzakelijk en op grote schaal gevoelige gegevens gebruikt (vb. medische gegevens), of op grote schaal aan monitoring, profilering of direct marketing doet.
