Wat is GDPR?

GDPR of General Data Protection Regulation (Engels) of AVG of Algemene vordering gegevensbescherming. Op 25 mei 2018 gaat AVG van kracht. Het is een Europese wetgeving die bepaalt hoe bedrijven en organisaties moeten omgaan met gegevens van personen. Daarbij wordt de nadruk gelegd op privacy en veiligheid.

Consumenten zullen de mogelijkheid hebben om bedrijven te vragen waarom ze data van hen bijhouden. Bedrijven zullen op hun beurt niet zomaar klantgegevens kunnen bijhouden. Het doorsturen van klantgegevens aan partners is al helemaal not done.

Er is méér. Het gaat duidelijk verder. Je wordt verwacht om veilig en op een verantwoorde manier om te gaan met deze gegevens. Wanneer je website of webshop met bijhorende klantgegevens (databank) wordt gehackt ben jij verplicht dit te melden binnen 72 uur aan de Gegevensbeschermingsautoriteit. Zelfs personen waarvan de gegevens mogelijk gelijkt zijn zullen op de hoogte gebracht moeten worden.

Er staan geen boetes op gehackt worden – dat lijkt mij nogal logisch- maar als bewezen kan worden dat je niet voldoende gedaan hebt om je website veilig te houden kan dit wel gebeuren.

Je kan je afvragen of het dan nodig is om een ethical hacker aan te schrijven om je website/webshop door te lichten. Vandaag én zeker bij een open-source CMS systeem zijn lekken schering en inslag. Meer dan vroeger worden er vandaag continue beveiligingslekken gevonden en opgelost. Dat impliceert een verhoging van de beveiligingsupdates op je website en dit met een hogere frequentie.

Wie komt in aanmerking voor GDPR?

• Alle Europese bedrijven
• Bedrijven en organisaties die actief zijn in de Europese Economische Ruimte (EER)

Welke boetes kan je krijgen?

Zoals zo vaak met andere wetten, zijn stevige boetes blijkbaar de enige effectieve methodes. Je zal niet op de minste inbreuk meteen een hoge boete krijgen. Echter wie de meest voor de hand liggende waarschuwingen negeert of weigert de regels na te leven riskeert een boete bij een datalek. De grootte orde van de boete is 2 procent van je globale omzet of tot 10 miljoen euro. Verzamel je meer data dan toegelaten, dan gaat het om 4 procent of 20 miljoen euro van je totale omzet.

In de praktijk verloopt het allemaal genuanceerder al mag je er toch vanuit gaan dat de wet frequenter zal toegepast worden.

Wat zijn de basisvereisten om in orde te zijn?

1. Maak een grondige beoordeling van je huidige situatie. 
   Welke persoonsgegevens verwerkt je bedrijf precies?
   Waar worden deze opgeslagen?
   Wie heeft toegang tot deze gegevens?
   Is het niveau van gegevens bescherming voldoende?
2. Welke wettelijke verplichtingen ontbreken?
3. Zorg ervoor dat iedereen binnen het bedrijf weet wat GDPR is en hoe daarmee omgegaan moet worden.
4. Je moet ook kunnen aangeven waarom je bepaalde gegevens van kanten bijhoudt
5. Wie kan die gegevens bekijken en met welk doel?
6. Personen hebben het recht om volledig ‘vergeten’ te worden. Heb je een procedure klaar om alle gegevens te wissen uit je bedrijfsstructuren?
7. Tot slot nog de privacy verklaring en het cookiebeleid? Zijn deze nog actueel?

Wat mag niet vergeten worden?

Wanneer je indirect gegevens ontvangt van personen, moet je die persoon inlichten binnen de maand of bij het eerste contact. De indirecte partij moet vermelden vanwaar die gegevens komen en waarom het toegelaten is om die gegevens te mogen gebruiken.

Hou er rekening meer dat je in principe niet meer data mag bijhouden dan strikt noodzakelijk. Marketing en Sales hebben uiteraard graag zoveel mogelijk informatie over ene bepaalde persoon, maar als die ‘extra’ informatie niet strikt noodzakelijk is, dient ze verwijderd te worden. Extra randinformatie over de persoon zoals gezinssituatie of voorkeur van automerk dragen niet bij aan de uiteindelijke doelstelling en mogen dus niet bijgehouden worden in het CRM pakket.

Wanneer een gegevenslek zich voordoet moet je de betrokken personen verwittigen. Eveneens moet je het incident bij de Privacy Commissie melden binnen 72 uur.

Zal GDPR je bedrijf geld kosten?

Natuurlijk. Bedrijven die intern niet beschikken over de juiste personen zullen beroep moeten doen op consultants om GDPR-compliant te zijn. Bekijk eerst welke software je momenteel gebruikt en bekijk of het mogelijk is om deze aan te passen in plaats van direct te investeren in nieuwe software. Dat kan kostenbesparend zijn.

Misverstanden over GDPR

Te laat gestart met GDPR? Maak dan zeker niet de fout door snel een softwarepakket aan te kopen in de hoop hiermee het probleem te hebben opgelost.  Bepaal dus eerst waarin je tekort komt en bouw een strategie uit en kies dan pas voor de juiste aankoop