Nieuwe privacy regels in voege vanaf 25.05.2018

Op 4 mei 2016 werd de Algemene Verordening Gegevensbescherming (GDPR) gepubliceerd, een mijlpaal op het vlak van data protection in de EU. De GDPR voert een aantal nieuwe regels in en bevat ook een zware sanctiemogelijkheid voor de nationale privacy autoriteiten van de Europese lidstaten. Zij mogen boetes opleggen tot 20.000.000 euro of 4% van de wereldwijde jaaromzet (het hogere bedrag zal worden toegepast)! Elke partij die persoonsgegevens verzamelt, maakt zich maar beter klaar voor een grondige oefening. Op 25 mei 2018 treedt de nieuwe verordening in werking… en dit heeft gevolgen

Wat betekent de GDPR voor ons?

De GDPR regelt de verwerking van persoonsgegevens. Het begrip ‘persoonsgegevens’ wordt zeer ruim opgevat: een naam, identificatienummer, locatiegegevens, een IP adres, elementen die kenmerkend zijn voor de identiteit van een persoon enz. Het begrip ‘verwerking’ wordt ook zeer ruim opgevat: verzamelen, vastleggen, ordenen, opslaan, bijwerken, opvragen, raadplegen, gebruiken, doorzenden… kortom alles wat u met persoonsgegevens doet. Indien u klantgegevens verwerkt, zijn de regels al van toepassing. Indien u een handeling stelt die binnen deze definities valt, dan moet u aan een aantal verplichtingen voldoen

Concreet?

Heeft u al een register waarin alle verwerkingsactiviteiten worden geregistreerd? Heeft u processen klaar om aan uw informatie- en meldingsplichten te voldoen (soms binnen de 72u)? Weet u wat u aan partijen die hun rechten willen uitoefenen moet antwoorden? Ze hebben een recht op toegang tot persoonsgegevens, recht op aanpassing, recht om te worden vergeten… Past u het principe ‘privacy by design’ toe in uw IT omgeving en in uw operationele processen? En ‘privacy by default’? Weet u wat te doen bij datalekken? Misschien moet u zelfs een data protection impact assessment uitvoeren of een data protection officer aanstellen of inhuren? Veel bedrijven gebruiken data protection trouwens als verkoopsargument. Wie het recht op privacy van haar klanten respecteert, vergroot het vertrouwen. Data kunnen ook in dit opzicht het nieuwe goud zijn.

De deadline is 25 mei 2018.

De klok tikt… Het is belangrijk dat u nu reeds voorbereidingen treft zodat u op tijd voldoet aan de nieuwe regels. Zo kan u onderzoeken welke types van persoonsgegevens u verwerkt, op welke grondslag ze worden verwerkt, waar deze informatie zich bevindt, wie ze gebruikt of er toegang toe heeft, welke bescherming u daarvoor heeft voorzien, welke bescherming uw dienstverleners daarvoor hebben voorzien (bvb. cloudleverancier, accountant, sociaal secretariaat, marketing- of communicatiebureau, IT leveranciers, call centers…) en welke stappen nog moeten worden gezet om te voldoen aan de nieuwe regels (training van personeel, verbeteren van de IT omgeving, voorzien van clausules in uw contracten met leveranciers…).

Kristof Zadora, Monard-Law: De privacycommissie zal actie ondernemen om de naleving van deze regels te controleren. Op een mooie ochtend kan een onderzoeksteam aan uw deur staan, en dan bent u maar beter klaar. De mogelijke sancties zijn bijzonder zwaar.
This article was originally published on limburgstartup