Hoe als bedrijf rekening houden met GDPR? | Blog | Wortell
Vanaf 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) van kracht. Deze verordening heeft als doel het eindeloos en mogelijk onveilig verzamelen van persoonsgegevens door bedrijven in te perken. Omdat de GDPR in minder dan een jaar van kracht gaat, is het belangrijk om zo snel mogelijk actie te ondernemen. Er staan torenhoge boetes op het niet naleven van deze wet, reden te meer om te zorgen dat jij en je organisatie er staan met een duidelijk actieplan!
Wat is de impact op je organisatie?
De GDPR is helaas geen eenzijdige richtlijn. De voorwaarden waarmee je organisatie rekening moet houden, zijn afhankelijk van de manier waarop persoonsgegevens vandaag verwerkt en gebruikt worden (zie Mythe 5).
Initieel werd er opgelegd dat bedrijven met meer dan 250 werknemers die meer dan 5000 records per jaar verwerken, tot 25 mei 2018 kregen om hun gegevensbeheer in overeenstemming met de regelgeving te brengen. Dit voorstel haalde echter de laatste versie van de gestemde GDPR-verordening niet en is bijgevolg ook van toepassing op KMO’s, ongeacht hun grootte en het aantal verwerkte records.
De GDPR omschrijft reguleringen rond het bekomen en tonen van gegevens. Ze richt zich daarom eerst en vooral op het beschermen van het datasubject. Dit is de persoon die de data verstrekt, in de meeste gevallen gaat dit om de eindgebruiker. Je privacyverklaring speelt hierbij een grote rol. Het is belangrijk deze in een toegankelijke en duidelijke taal op te stellen.
In veel gevallen is het voor organisaties ook verplicht om een dataregister op te stellen. Hierin maak je een overzicht van alle persoonsgegevens die je verzamelt en bewerkt. Vermeld hier waar de gegevens vandaan komen, en met wie ze gedeeld worden. Gebeurt het toch dat je organisatie geconfronteerd wordt met een datalek, dan is dit document een houvast om te laten zien dat je wel degelijk volgens de regels hebt gewerkt.
Moet ik hiervoor mensen extra opleiden?
Dat hangt ervan af. Het is in ieder geval heel nuttig om je collega’s en personeel attent te maken op de nieuwe regelgeving door middel van workshops en presentaties. GDPR is namelijk niet enkel de verantwoordelijkheid van de CEO of je IT-departement. Iedereen kan best zo goed mogelijk betrokken zijn.
Verwerk je data op grote schaal, werk je met bijzondere categorieën (als gezondheidsdata) of ben je een publieke instelling? Dan ben je volgens de regelgeving verplicht een Data Protection Officer (DPO) aan te stellen (zie Mythe 3). Ook als je als onderneming niet in bovengenoemde categorieën past, kan het aanstellen van zo’n DPO een slimme zet zijn. Het zorgt voor extra toezicht en vooral meer zekerheid bij eventuele geschillen.
Gegevens, wat zijn het en wat doe je ermee?
De GDPR richt zich op het beschermen van de eindgebruiker. Vaak zie je dat bedrijven talloze nutteloze gegevens (al dan niet bewust) opslaan, die niet relevant zijn voor de diensten die ze aanbieden. De wetgeving staat hier als het ware als scheidsrechter aan de zijlijn om deze gegevens wanneer nodig terug te fluiten.
Om dit onder controle te houden neem je best het begrip van ‘doelbinding’ in acht. Dit bepaalt dat de persoonsgegevens die je bezit, verkregen moeten worden met de uitdrukkelijke toestemming van je eindgebruiker. Ze mogen verder ook niet verwerkt worden op een manier die niet past bij je doeleinden. Bekijk daarom zelf met een kritisch oog of je de gegevens die je verzamelt echt wel nodig hebt. Opnieuw, meerdere afdelingen binnen je bedrijf kunnen hiermee te maken krijgen.
Wat is het nut van de GDPR binnen mijn organisatie?
De GDPR moet allereerst een oplossing bieden voor de vele gegevenslekken die bedrijven de afgelopen paar jaar geleden hebben. Bedrijven worden dankzij deze maatregel met hun neus op de feiten gedrukt om bewuster om te gaan met persoonsgegevens. Ze hebben overigens vaak geen idee wat er moet gebeuren wanneer ze geconfronteerd worden met zo'n datalek (zie Mythe 4).
De privacycommissie in België is belast met het onderzoeken en verwerken van datalekken. Deze laatste moeten volgens de nieuwe regelgeving verplicht gemeld worden. Omdat de GDPR veel zaken van de huidige Privacywetgeving overneemt, zijn deze vaak reeds bekend voor Belgische ondernemingen. De meldingsplicht bedraagt hierdoor nog steeds in principe maximaal 72 uur nadat een gegevenslek werd vastgesteld.