De meeste nationale reglementeringen in verband met de bescherming van de privacy dateren al van een tijdje terug en zijn in het beste geval serieus verouderd. Bovendien is er behoefte aan een Europese aanpak aangezien de meeste bedrijven internationaal werken of ambities in die richting hebben.

Wat verandert er in de nieuwe (Europese) General Data Protection Regulation (GDPR) ?

De huidige privacyregels i.v.m. persoonsgegevens verschillen van land tot land, maar zijn wel gebaseerd op een algemene Europese wetgeving uit 1995 die anders geïnterpreteerd werd door de verschillende Europese landen. Om duidelijkheid en uniformiteit te bewerkstelligen, werd er aan een nieuwe wet gewerkt. Bovendien was er ook nood aan modernisering om alle nieuwe ontwikkelingen en technologieën zoals sociale media en de cloud te integreren in de wetgeving.

Op 25 mei 2018 gaan de nieuwe Europese privacyregels in over hoe bedrijven omgaan met persoonsgegevens. Deze General Data Protection Regulation (GDPR) zal per direct de nationale privacywetgeving van alle Europese lidstaten vervangen. Het stelt de Europese Privacy Commissie eveneens in staat de naleving ervan te controleren en bij overtredingen boetes uit te schrijven.

Enkele praktische tips :

  • Je kan nog altijd werken met landingpages en popuformulieren. De belangrijkste toevoeging is echter dat de inschrijvers de mogelijkheid moeten hebben akkoord te gaan met het feit dat ze opgenomen worden in een lijst en dat ze mogelijkerwijs in de toekomst nog mee berichten van jou zullen krijgen.
  • En als ze niet akkoord gaan met de opname van hun adresgegevens en ze je e-book zomaar willen downloaden ? Dat mag je hen geen extra emails meer sturen en stopt het proces.

De aanpassingen in de GDPR wetgeving steunen voornamelijk op 4 pijlers

GDPR wetgeving pijler #1 : Hoe persoonsgegevens verzameld en gebruikt worden

Transparantie is het kernwoord als het gaat over de manier waarop persoonsgegevens verzameld en gebruikt worden. Het moet te allen tijde duidelijk zijn voor klanten, gebruikers, consumenten, … waarvan je persoonsgegevens verzameld, op welke manier je dat doet (opt-in voor e-mails, cookies op de website, disclaimer en privacy-meldingen, …).

Alle consumenten en klanten moeten hun gegevens ook kunnen inkijken. Daarnaast verstrengen ook de wetten rond de bescherming van minderjarigen. En tot slot worden ook de regels rond prospectie verscherpt: de automatische verwerking van persoonsgegevens (interesses, functie, gedrag, locatie, …) wordt aan banden gelegd. Deze informatie moet altijd gekend zijn en de gebruiker moet ze altijd kunnen inkijken.

Zo zal waarschijnlijk het beheer en verwittiging van het gebruik van cookies deel gaan uitmaken van het privacybeleid van een bedrijf.

GDPR wetgeving pijler #2 : Wijzigen van gegevens

Bovendien heeft de consument ook altijd het recht om zijn gegevens aan te passen of te verwijderen. Denk bijvoorbeeld maar aan de Google-zoekresultaten. Het is sinds 2014 mogelijk om foutieve informatie die over jezelf of je bedrijf verschijnt in Google te laten verwijderen (meer informatie). Hetzelfde geldt in de nieuwe GDPR voor bedrijven die persoonsgegevens verwerken, als de consument met gegronde reden zijn gegevens wil aanpassen of verwijderen, moet het bedrijf daarmee akkoord gaan en de aanpassing of verwijdering uitvoeren.

GDPR wetgeving pijler #3 : GDPR en Data-overdracht

Als er persoonsgegevens worden doorgegeven aan derden, moet de persoon zelf hier altijd van op de hoogte zijn. Bedrijven die e-mailadressen verzamelen en ze dan doorgeven aan derden voor marketing-doeleinden ben je waarschijnlijk wel al tegengekomen. Wie dat nu nog wil doen, zal daar twee keer toestemming voor moeten vragen aan de persoon, wat gekend staat als een dubbele opt-in.

Bovendien moeten personen ook het recht hebben om zelf de overdacht van hun gegevens aan te vragen. Iemand die bijvoorbeeld van energieleverancier of telecomoperator wil veranderen, hoeft nu niet meer alle gegevens zelf door te geven. Hij kan vragen aan zijn huidige leverancier of operator om alle gegevens door te geven aan de nieuwe. Dit moet dan gratis gebeuren, en dat binnen één maand.

GDPR wetgeving pijler #4 : Beveiliging

De 4e belangrijke pijler gaat over beveiliging. Indien er een datalek plaatsvindt of gegevens gestolen worden, is het bedrijf verplicht dat binnen 72 uur te melden aan de overheid en de betrokken personen. Dat moet niet wanneer het lek geen gevaar inhoudt voor de verzamelde persoonsgegevens.

Om de beveiliging van persoonsgegevens te verhogen, wordt er ook aangeraden om een Data Protection Officer (DPO) aan te wijzen. Deze persoon moet ervoor zorgen dat alle regels van de GDPR worden nageleefd, en in bepaalde sectoren (zoals direct marketing of prospectie bijvoorbeeld) zal die verplicht zijn.

Daarnaast worden ook Data Protection Impact Assessments aanbevolen: een audit van de veiligheid van de manier van persoonsgegevens verwerken en opslaan, dit om te weten te komen welke risico’s het bedrijf loopt. Dit is vooral nuttig voor bedrijven die enorm veel persoonsgegevens verwerken, zoals CRM-systemen en direct marketingbureaus.

Wil je graag meer uitleg over de GDPR wetgeving over weten? Unizo bracht een handige snelwijzer uit en je kan ook de volledige GDPR online raadplegen.

Bronnen:
https://www.unizo.be/publicaties/andere/snelwijzer-gdpr
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
https://ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/
http://www.smartbiz.be/achtergrond/167961/de-gdpr-wetgeving-uitgelegd-vijf-vragen/
https://support.google.com/websearch/troubleshooter/3111061?hl=nl