GDPR in mensentaal

GDPR in 5 punten

Wat is GDPR en wat wil dit zeggen voor mijn bedrijf?

Je hebt ongetwijfeld al gehoord van de GDPR-wetgeving die ingaat op 25 mei 2018. GDPR is de afkorting voor General Data Protection Regulation. In het Nederlands spreken we van AVG of Algemene Verordening Gegevensbescherming maar ook in België gebruiken we vaker de afkorting GDPR. Simpel uitgelegd is dit een verzameling van regels om de gegevens van Europese burgers beter te beschermen, maar wat houdt dit nu juist in? Hoe zorg ik ervoor dat mijn bedrijf aan deze wetgeving voldoet en dus geen strenge boetes krijgt? Lees verder om een antwoord te krijgen op al je vragen.

1. Wat houdt GDPR in?

De nieuwe GDPR-wetgeving introduceert eengemaakte regels over de beveiliging én de opslag van persoonlijke gegevens. Het gaat hier zowel om de persoonlijke gegevens van klanten als van je eigen werknemers.
De wet geldt voor de hele Europese Unie en bestaat uit twee delen. Langs de ene kant heb je de Regulation waar de bedrijfswereld zich aan moet houden en daarnaast heb je de Directive die van toepassing is voor overheidsdiensten zoals politie en justitie. Een belangrijk onderscheid.

2. Over welke gegevens gaat het?

  • Persoonlijke gegevens zoals naam, geslacht, geboortedatum, adres,…

  • Online gegevens zoals zoekgeschiedenis, cookies, e-mail,…

  • Financiële gegevens zoals bankrekening, inkomen, belastingen,…

  • Juridische informatie zoals veroordelingen, boetes,…

  • Sociale media zoals Facebook, LinkedIn, Twitter,…

  • GPS-gegevens zoals reisinformatie, GPS,…

  • Medische gegevens zoals vaccinaties, ziekenhuisinfo,…

  • Etnische gegevens zoals culturele voorkeuren, religies,…

  • Winkelgedrag zoals winkelaankopen, direct marketing,…

3. De gevolgen voor je bedrijf en hoe voorbereiden?

De wetgeving gaat in vanaf mei 2018 en geldt voor iedereen die goederen of diensten aanbiedt in de Europese Unie. Vanaf dan moet je als bedrijf dus kunnen aantonen dat je voldoet aan de nieuwe wet. Dit gaat zowel over de manierGDPR 2 300x180 - GDPR in mensentaal van verzamelen van persoonlijke gegevens als over het opslaan in datacenters of in een cloud buiten de EU. Voor de meeste bedrijven is dit een enorme aanpassing.

Gelukkig heeft de privacycommissie enkele richtlijnen opgesteld om je bedrijf zo goed mogelijk voor te bereiden.

  • Transparantie: Je moet op een begrijpelijke manier uitleggen hoe de data wordt verzameld en verwerkt.

  • Recht om vergeten te worden: Wanneer een persoon aan jouw bedrijf vraagt om de persoonsgegevens te wissen dan ben je dit verplicht. Ook als de data al gedeeld werd met derde partijen.

  • Meldplicht: Is er een datalek? Je bent verplicht om dit binnen de 72 uur te melden, tenzij je kan aantonen dat het geen gevaar vormt voor de persoonsgegevens.

  • Data-overdracht: Burgers kunnen hun gegevens overdragen van de ene dienstverlener naar de andere. Voorbeeld: internetprovider.

4. Wat zijn de sancties?

Als je niet voldoet aan de GDPR-wetgeving dan hangen er hoge boetes boven je hoofd. Bij een ‘lichte schending’ kan het gaan over 2% van je jaarlijkse omzet. De maximale boete kan oplopen tot €20 miljoen of 4% van je jaarlijkse omzet.

5. Een toezichthouder binnen je bedrijf

Omdat de GDPR-richtlijnen een grote impact hebben op je bedrijf – en de sancties niet mals zijn – moet je een verantwoordelijke aanstellen. Dit noemen we een DPO, ofwel Data Protection Officer. Deze persoon kent de nieuwe wetgeving heel goed en controleert of alles nauwkeurig wordt opgevolgd.

De DPO kan een DPIA ofte Data Protection Impact Assessment uitvoeren. Dit is een instrument waarmee je de privacyrisico’s van een gegevensverwerking in kaart kan brengen. Hoewel wij een DPIA ten zeerste aanraden, is het enkel verplicht wanneer de gegevensverwerking een hoog privacyrisico oplevert. Na het uitvoeren van de DPIA kan de DPO aanpassingen doen of adviseren om de risico’s te verkleinen of weg te werken.

De DPO moet er dus op toekijken dat jouw bedrijf de data verwerkt en bewaart volgens de GDPR-regels. Wat heel belangrijk is, is dat de DPO geen eindverantwoordelijkheid heeft en dus niet aansprakelijk is. Wanneer de regels niet worden nageleefd heeft het bedrijf de volledige aansprakelijkheid.

Ontdek hoe ons softwarepakket jouw bedrijf GDPR-compliant kan maken.

Vergeet Me

Onze ‘Vergeet Me’-module helpt je om iemand volledig uit je systeem te wissen. Iedereen kan namelijk aan jou vragen om ‘vergeten te worden’ en dan moet jij alle sporen van deze contactpersoon wissen. Tenzij je deze gegevens wettelijk nodig hebt voor facturen bijvoorbeeld. Een klant of leverancier ‘vergeten’ zou natuurlijk onhandig zijn. MyDigi checkt voor jou of de contactpersoon aan belangrijke informatie gekoppeld is. Wanneer dit niet zo is kan je iemand verwijderen. Is dit wel zo, dan stelt MyDigi je daarvan op de hoogte en kan je de persoon niet verwijderen.

Ontdek de ‘Vergeet Me’-module

Datalek

Een datalek. De nachtmerrie van elke ondernemer. Het is sneller gebeurd dan je denkt en het is niet altijd digitaal. Het lek moet binnen de 72 uur gemeld worden bij de autoriteiten. Dankzij de ‘Datalek’-module van MyDigi hoef je zelf niet uit te dokteren wat er moet gebeuren mocht zoiets voorvallen. Wanneer iemand een datalek opmerkt kan hij dit met één klik op de knop melden. MyDigi geeft dit door aan de juiste personen en zij krijgen een chronologische takenlijst met automatisch ingevulde sjablonen. Zo zijn ze zeker dat ze geen enkel stap vergeten of verkeerd uitvoeren.

Ontdek de ‘Datalek’-module
By |2018-06-12T10:06:17+00:00november 16th, 2017|Categories: Uncategorized|Tags: , , , , |0 Comments

About the Author:

Ginger zal bij MyDigi alle communicatie in goede banen leiden. Met haar studie journalistiek en haar ervaring op een nieuwsredactie zal ze ons voorzien van de juiste content. Zowel in woord als in beeld.