Kenny Van Wassenhove, 22 juni 2017

GDPR: dat is dan 20 miljoen euro boete alstublieft

Verwerkt jouw bedrijf of het bedrijf waar je werkt persoonsgegevens van EU-burgers? Dan is dit artikel even de moeite waard. Het zou best kunnen dat je enkele maatregelen zal moeten treffen omtrent het verzamelen en het gebruik van deze gegevens. Vanaf 25 mei 2018 wordt de General Data Protection Regulation (GDPR) gelanceerd. Dit omvat strengere regels voor de bescherming van persoonsgegevens. Wie of wat die GDPR juist is en wat er juist gaat gebeuren lees je hier.

GDPR wat?

Je weet ondertussen wel dat bedrijven maar al te graag uw gegevens verzamelen en bijhouden. Wat er dan precies mee gebeurt is niet altijd duidelijk. Misschien werk je zelf wel voor een bedrijf dat persoonsgegevens verwerkt of ben jij er zaakvoerder van. De General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) zorgt voor de bescherming van persoonsgegevens en voert vanaf 25 mei 2018 strenge regels in om de gegevens van Europese burgers beter te beschermen. De officiële Europese website heeft het over “The most important change in data privacy regulation in 20 years”. Deze verordening zal de veiligheid van data bevorderen en aan Europese inwoners de controle over hun persoonlijke data teruggeven.

Vernieuwingen zijn onder andere: Transparantie, Data-overdracht en Recht om vergeten te worden. Het vakje dat steeds onder webformulieren staat, waarmee je gevraagd wordt of je op de hoogte wil blijven van de laatste nieuwtjes mag bijvoorbeeld niet meer standaard aangevinkt staan. De regels omtrent bescherming van minderjarigen en de manier waarop gegevens doorgegeven worden aan derden worden strenger en er zijn ook strengere regels voorzien rond profiling van klanten of prospects.

GDPR

Voor wie geldt dit?

Deze verordening is niet enkel van toepassing op bedrijven zoals Facebook, Google of Amazon, maar ook op de kinesist om de hoek die patiëntgegevens verzamelt, een communicatiebureau dat profielen van klanten gebruikt en een webshop die een klantenlijst en surfgedrag bijhoudt. Ook overheden, VZW’s,… Kortom, iederéén die data bijhoudt, verwerkt en verzamelt, krijgt te maken met deze verordening. Opgepast, dit gaat ook over analoge data!

Dat is dan 20 miljoen euro boete alstublieft

Je bent als bedrijf (“Data Controller”) verantwoordelijk voor de data en er wordt uitgegaan van het principe: schuldig tot het tegendeel bewezen is. Niets doen of uitstellen is al in strijd met de GDPR. Je moet kunnen aantonen aan deze regels te voldoen of je moet minstens kunnen aantonen dat je de nodige stappen aan het zetten bent.

Het bedrag van de boete kan oplopen tot 20 miljoen euro en in sommige gevallen zelfs meer, afhankelijk van de omvang van de onderneming en in welke mate de regels overtreden worden.

Hoe voorkomen?

Bedrijven moeten door middel van een audit uitzoeken hoe goed hun data beschermd zijn en zo nodig aanpassingen doen aan de beveiliging en verwerkingsprocessen van de persoonsgegevens. Voor sommige ondernemingen zal het nodig zijn om een “Data Protection Officer (DPO)” in dienst te nemen die er voor zorgt dat het verzamelen en verwerken van de gegevens correct gebeurt. Er is bovendien een meldplicht bij datalekken. Indien gegevens verloren gaan of gestolen worden, moeten zowel de overheid als de betrokken klanten binnen 72 uur verwittigd worden.

Het uiteindelijke doel van de GDPR is dat bedrijven zo weinig mogelijk data verzamelen en deze data voor een zo kort mogelijke tijd gebruiken om ze daarna, wanneer het doel bereikt is, zo snel mogelijk terug te verwijderen. Met andere woorden: uit een minimum aan data zal men moeten proberen het maximum te halen.

Dus

  1. GDPR geldt voor iedereen die persoonsgegevens van EU inwoners verzamelt
  2. GDPR beschouwt elk gegeven dat een mens kan identificeren als een persoonsgegeven
  3. GDPR verstrengt de regels rond het vragen van toestemming voor het verzamelen van peroonsgegevens
  4. GDPR verbiedt meer gegevens bij te houden dan aantoonbaar nodig is
  5. GDPR verbiedt langer gegevens bij te houden dan aantoonbaar nodig is
  6. GDPR verplicht bedrijven binnen de 72 uur aangifte te doen in geval van diefstal van persoonsgegevens
  7. GDPR introduceert het recht om vergeten te worden
  8. GDPR maakt het voor bepaalde bedrijven verplicht een audit te laten uitvoeren door een DPO (data protection officer) of zelf een DPO in dienst te nemen

 

Nog meer vragen?

Heb je vragen of bedenkingen omtrent de nieuwe regelgeving, aarzel dan zeker niet om ons te contacteren. We geven met plezier een extra woordje uitleg.