Is jouw organisatie GDPR proof?

GDPR doet wellicht wel ergens een belletje rinkelen. Als dat niet zo is, of als je graag wil weten hoe de vork nu ècht in de steel zit, lees dan vooral verder. GDPR heeft namelijk nogal wat gevolgen voor veel organisaties. Maar weinig mensen lijken precies te weten wat het is. Wij vonden dit thema wel een blogpost waard. Is jouw organisatie GDPR proof? We helpen jou die vraag te beantwoorden.

Laat ons eerst maar beginnen met definities, dan hebben we dat ook weer gehad. GDPR staat voor General Data Protection Regulation, of in het Nederlands Algemene Verordening Gegevensbescherming. Het vervangt de hopeloos verouderde databeschermingsrichtlijn uit 1995. Er zijn sindsdien nogal wat zaken veranderd. Denk maar aan social media, de cloud en marketing automation. We verzamelen waanzinnig veel data, meer dan voordien, en bij veel van die data kunnen privacy issues opduiken. GDPR bepaalt hoe we met die data moeten omgaan ter bescherming van jouw en mijn privacy. GDPR legt een aantal basisprincipes vast en die lichten we graag even toe.

Minimale gegevensverwerking

Volgens dit principe moeten de gegevens die je verzamelt relevant zijn en beperkt tot die data die nodig zijn voor de doeleinden waarvoor je de data verzamelt. Verwerk dus enkel het absolute minimum aan data, zodat je hiermee alvast geen problemen hebt. Hou dus bijvoorbeeld geen gegevens bij over het beroep van je doelgroep als die relevant zijn. Maar dat lijkt ons verder eigenlijk vooral heel logisch.

Uitdrukkelijke toestemming

Het is verbazend hoeveel organisaties nu nog starten met het sturen van spam. Wij zien er elke dag nog nieuwe bijkomen in onze mailboxen. Heb je in het verleden eens ergens je visitekaartjes achtergelaten of je ergens online ingeschreven, dan is de kans groot dat iemand die gegevens misbruikt om jou mails te sturen waar je niet naar gevraagd hebt.

GDPR maakt daar komaf mee. Vanaf 25 mei 2018 mag je enkel nog email campagnes sturen naar mensen die expliciet aangegeven hebben jouw mails te willen ontvangen via een opt-in. Als je die opt-in niet hebt, mogen de gegevens ook niet in je database voorkomen. En dat geldt helaas voor de meesten met terugwerkende kracht, dus heb je die opt-in ook nodig voor wie vandaag al in je database zit. Hoog tijd dus om je bestaande klanten te vragen naar die opt-in.

Het recht om vergeten te worden

Je klanten kunnen op elk moment vragen om ‘vergeten te worden’. Als ze dat doen, ben je dus verplicht hun gegevens te wissen uit je database. Heb je hun gegevens doorgespeeld aan een derde partij, dan ben je ook verantwoordelijk om hun gegevens bij die derde partij te laten wissen.

Documentatieplicht

Dit betekent dat je verplicht bent om bij te houden welke persoonsgegevens je verzamelt en waar, en wat je er mee doet. Bij discussies of controles moet je op elk moment kunnen aantonen waar je deze data op een legale manier hebt verzameld. Als je data hebt waarvan je niet meer kan achterhalen waar en wanneer je ze hebt verzameld, dan ben je verplicht die data te wissen uit je systemen.

Plan in geval van dataverlies

Eén van de verplichten die GDPR met zich meebrengt, is dat je je data goed beveiligt en beheert. Dat betekent dat je je data moet afschermen voor onbevoegden en dat je ze moet beschermen tegen misbruik of diefstal. Is er ondanks je inspanningen toch een datalek? Dan verplicht GDPR je om dat binnen de 72 uur te melden bij de Privacycommissie en de gebruikers zelf van wie de data zijn gelekt. Het is dan ook sterk aan te bevelen om hier de nodige processen voor op te zetten en rekening te houden met alle mogelijke scenario’s. Een ongelukje, hoe onschuldig ook, is immers snel gebeurd.

Automatische profilering

Er is sprake van profilering bij marketing automation: er wordt daarbij een profiel samengesteld aan de hand van overeenkomsten met andere gebruikers van dezelfde doelgroep of opp basis van je surfgedrag. Op zich wordt het niet verboden. Wel moet je expliciet vermelden in je privacy policy dat je aan profilering doet.

Is jouw organisatie klaar voor GDPR

Dit zijn de principes waarop GDPR gestoeld is. Maar wat betekent dat nu in godsnaam voor jouw onderneming? Check voor jezelf of jij klaar bent voor GDPR aan de hand van deze vragen.

Is GDPR van toepassing op mijn organisatie?

Als jouw organisatie persoonsgegevens van EU inwoners verwerkt, Dan is GDPR zeker van toepassing. Elke organisatie die data verzamelt met betrekking tot privé gegevens zoals een email adres of een fysiek adres is onderworpen aan GDPR. Ook niet Europese bedrijven die gegevens van EU inwoners verwerken, moeten zich aan de regels houden.

Heb ik een DPO nodig?

Een DPO is een Data Protection Officer, iemand die er over waakt dat GPDR geïmplementeerd en nageleefd wordt binnen de organisatie. In eerste instantie moesten organisaties met meer dan 250 personeelsleden een DPO hebben. Op dit moment is deze regel van toepassing voor overheidsinstanties, bedrijven die vooral bezig zijn met de verwerking van specifieke categoriën gegevens, of bedrijven die aan gegevensverwerking doen waarvoor observatie op grote schaal nodig is. Dit geldt trouwens ook voor bedrijven met minder dan 250 medewerkers.

Tegen wanneer moet ik in orde zijn?

De GDPR wetgeving gaat in voege vanaf 25 mei 2018. Als je er nog niet mee bezig bent, is dat geen ramp. Maar het wordt wel tijd om er werk van te maken. Ben je op die datum niet in orde en wordt je aangeklaagd door een gebruiker, dan kan de boete hiervoor oplopen tot 4% van je omzet, met een maximum van 20 miljoen Euro. Een dergelijk risico loop je uiteraard liever niet.

Mag ik eender welke data verzamelen?

Neen. Je mag enkel data verzamelen die relevant zijn voor jouw organisatie of campagne. Je mag dus enkel die data vragen van je doelgroep die strikt noodzakelijk zijn voor de beoogde doeleinden. Telefoonnummers, email adressen en functietitels zijn meestal aanvaardbaar, maar persoonlijke data zoals leeftijd of gewicht bijvoorbeeld zijn zeker niet altijd relevant of zelfs wenselijk.

Wat moet ik doen om compliant te zijn?

Een aantal dingen kan je nu al doen om tegen 25 mei 2018 in orde te zijn. Auditeer alvast je database en identificeer gebruikers die geen expliciete toestemming gegeven hebben om hun data te verzamelen. Je kan hen nu aanspreken om alsnog die toestemming te krijgen. Stel hiervoor de nodige procedures op zodat je tijdig die toestemming hebt. Je kan ook een overzicht maken van alle mogelijkheden die gebruikers vandaag hebben om hun persoonlijke gegevens op jouw site achter te laten. Eens je dat overzicht hebt, kan je identificeren waar er fouten in je systeem zitten. Aan de hand daarvan kan je lijsten maken van de verschillende manieren om toestemming te verkrijgen. En je kan ook al starten aan een privacy policy die duidelijk en transparant is voor je gebruikers.

Ziezo, hiermee weet je niet alleen wat GDPR precies inhoudt, en wat jij al kan doen om op tijd te voldoen aan de regels. Is het allemaal nog wat onduidelijk of weet je niet precies hoe je er aan moet beginnen? Geen nood, wij helpen je graag verder. Samen met onze partners en deskundigen terzake maken we jouw organisatie volledig GDPR compliant. Contacteer ons voor meer advies omtrent deze materie.