De GDPR, of de ‘General Data Protection Regulation’ die Europa ons oplegt vanaf 25 mei 2018, is een verordening die ons aller privacy beschermt. “Dit is toch positief?” zal je denken. Wel, je hebt overschot van gelijk: dit is het zeker. De keerzijde van de medaille is echter dat wij als ondernemingen onze werkwijze (grondig) moeten aanpassen. Deze nieuwe Europese privacywet legt strengere regels op in verband met dataverwerking: persoonsgegevens kunnen binnenkort enkel nog verzameld worden met de toestemming van de persoon over wie het gaat. Deze data moet verwerkt worden met de grootste zorg voor privacy en veiligheid.
Waarover gaat het?
Vooreerst moet je in kaart brengen welke persoonsgegevens je verzamelt, wat je ermee doet en hoelang je ze bijhoudt. Je moet hierover transparant zijn en elke persoon waarvan je persoonsgegevens ‘verwerkt’ (het ‘databoject’) moet – expliciet of impliciet – zijn/haar toestemming gegeven hebben. Iedereen heeft steeds inzagerecht en het recht zijn gegevens te laten wijzigen of zelfs schrappen. Dit laatste uiteraard enkel indien je deze data niet ‘moet’ bijhouden, vb. omdat de overheid dit eist, of in het kader van garantie, …
Deze persoonsgegevens dienen natuurlijk ook met de nodige zorg ‘bewaakt’ te worden tegen verlies of diefstal. Maar zeg nu zelf, dit doen we sowieso toch best met al onze data? We willen toch niet dat onze bedrijfsgeheimen gestolen worden, of dat we de toegang tot ons klantenbestand of onze productieprocessen ‘verliezen’ door een ransom cyberattack?
Belangrijk detail: het gaat hier niet enkel om digitale veiligheid. Ook het papieren dossier van klant X of de map met personeelsgegevens mag niet door iedereen kunnen ingekeken worden.
Met persoonsgegevens die ‘gevoelig’ zijn, moet met nog meer zorg omgesprongen worden. Dit zij o.a. data van kinderen, medische data, data gerelateerd aan etnische afkomst, sexuele geaardheid of politieke overtuiging, …
Indien je gevoelige gegevens verwerkt, of indien je persoonsgegevens verwerkt op systematische en grote schaal, ben je bovendien verplicht een Data Protection Officer (DPO) aan te stellen. Dit is een soort preventieadviseur, maar dan m.b.t. privacy-materie binnen de onderneming. Zijn belangrijkste taak is het kunnen ‘aantonen’ dat jouw bedrijf voldoet aan alle GDPR verplichtingen, dat hierover grondig nagedacht is en dat al het redelijke gedaan werd om alle persoonsgegevens met zorg en binnen het wettelijke kader te verzamelen, te verwerken, te bewaren en te verwijderen zodra de data obsolete wordt.
GDPR stopt niet bij een audit, het aanstellen van een DPO en het implementeren van het actieplan. GDPR vereist ook een continue monitoring en bijsturing waar nodig. Het personeel in deze zin opleiden en blijvende awareness bijbrengen is hierbij onontbeerlijk. De menselijke factor is immers dikwijls de zwakste schakel in het systeem.
De op zich zeer positieve strengere privacy, heeft dus waarschijnlijk wel wat impact op jouw onderneming. Maar het is ook een opportuniteit! Indien de impact voor jou groot is, is het zeer waarschijnlijk dat je er alle belang bij hebt eens stil te staan bij je manier van werken. Voor jezelf, om commerciële en operationele redenen. Misschien kan je deze evolutie wel ombuigen naar een concurrentieel voordeel … en zoals elke evolutie waar een ondernemer mee geconfronteerd wordt: deze moet aangepakt worden door de ondernemer, maar hij hoeft dit niet alleen te doen!
Wil je weten wat dit allemaal inhoudt? Klik hier of contacteer me dan vrijblijvend. Ik help je graag verder met enkele handige templates en praktisch advies.