Welke impact heeft GDPR voor mijn organisatie?

GDPR, het klinkt als een nieuwe hit van The Village People. Maar niets is minder waar. De GDPR, voluit General Data Protection Regulation, is de nieuwe Europese regelgeving over de bescherming van persoonsgegevens. Hoewel deze wetgeving pas van kracht gaat op 25 mei 2018 is er al veel over gezegd en geschreven. Het ene bericht is daarbij al onheilspellender dan het andere. Wij lichten de basisprincipes van deze regelgeving kort toe en geven een antwoord op enkele prangende vragen.

Op welke bedrijven is GDPR van toepassing?

De GDPR heeft betrekking op de bescherming van persoonsgegevens van alle burgers binnen de Europese Unie. Ook internationale organisaties of bedrijven die gevestigd zijn buiten de EU ontlopen er dus niet aan. Als je gegevens over EU-burgers op een of andere manier verzamelt ben je onderhevig aan de GDPR.

Over welke gegevens gaat het nu precies?

Persoonsgegevens worden binnen de GDPR zeer breed gedefinieerd. Het gaat om alle data aan de hand waarvan een persoon op een bepaalde manier geïdentificeerd kan worden. Dus niet alleen vanzelfsprekende gegevens zoals naam, telefoonnummer, e-mailadres, etnische achtergrond …, maar ook locatiegegevens, cookies, logins en Ip-adressen vallen onder deze definitie.

Welke maatregelen kan ik als organisatie nemen?

Vraag toestemming (opt-in/opt-out)

In de eerste plaats heb je de expliciete toestemming nodig van een EU-burger om gegevens over hem/haar op te slaan en te gebruiken. Die toestemming moet je op een duidelijke en ondubbelzinnige manier vragen en kan enkel worden toegekend wanneer de consument ook effectief een actie onderneemt.

Met andere woorden, een bezoeker kan ervoor kiezen om een opt-in aan te duiden, maar dit vakje al aangevinkt tonen vereist geen actie van de gebruiker en is dus niet GDPR-conform. Even belangrijk is dat een gebruiker steeds de mogelijkheid heeft tot een opt-out (het intrekken van de toestemming).

Schrijf een duidelijke privacyverklaring

Gebruik je Advertenties op Facebook of andere marketingtechnieken om personen te targeten op basis van hun demografie, interesses of verrichte acties? Dan doe je aan wat in de GDPR valt onder profiling. In dat geval is een publieke privacyverklaring of disclaimer waarin je uitlegt welke gegevens je verzamelt en voor welke doeleinden je deze gaat gebruiken cruciaal.

Documenteer het verzamelproces

Onder deze nieuwe wetgeving heeft elke EU-burger het recht op inzage in hoe zijn/haar gegevens worden vergaard en bijgehouden. Een bezoeker heeft bovendien het recht deze gegevens te laten verbeteren. Dit wil zeggen dat je als organisatie een document moet hebben met een begrijpbare uitleg over het proces waarop je persoonsgegevens verzamelt.

Daarnaast mogen gebruikers vanaf mei 2018 ook gebruik maken van hun recht op schrapping. Consumenten kunnen zo eisen dat ze permanent uit het klantensysteem worden verwijderd en als organisatie moet je dus in die mogelijkheid kunnen voorzien.

Minimaliseer de opgeslagen data

Ten slotte lanceert de GDPR ook twee nieuwe privacy concepten. Het eerste concept, ‘Privacy by design’ betekent dat vanaf de ontwikkeling van een product of dienst waarmee gegevens verzameld kunnen worden bv. een webshop rekening gehouden moet worden met de privacy-verplichtingen. Het toelaten van adblockers en andere privacy verhogende ingrepen zijn hiervan een voorbeeld.

Het tweede concept, ‘Privacy by default’ wil zeggen dat je bij het beheren van het product of dienst over de privacy van de data moet waken. Dit kan door bv. gegevens anoniem te verwerken en te verwijderen wanneer je deze niet meer nodig hebt.

Moet ik als bedrijf bang zijn van deze nieuwe wetgeving?

Het is belangrijk om je als organisatie tijdig voor te bereiden op de komst van GDPR. Boetes kunnen hoog oplopen, dus zorg je er maar best voor dat je voldoet aan deze verplichtingen. Door de manier waarop persoonsgegevens in jouw organisatie behandeld worden eens grondig onder de loep te nemen en deze te documenteren kan je moeilijkheden vermijden.

Maar de GDPR is ook goed nieuws! Waar er vroeger een wildgroei aan nationale en vaak verouderde regelgeving rond privacy bestond, zal er nu een Europees kader zijn dat richting geeft. Hoeveel ruimte voor interpretatie dit kader ook toelaat, door jezelf als organisatie te schikken naar de GDPR geef je een positief signaal aan het Europese publiek. Want hoewel consumenten maar al te graag gegevens inruilen voor een persoonlijke aanbod is er nooit minder vertrouwen geweest in hoe bedrijven met deze informatie omgaan. En daar kan je jezelf als organisatie dus in onderscheiden.