De GDPR: 7 vragen om jouw bedrijf klaar te stomen

Toch lijken die nobele inspanningen het concept van de GDPR enkel nog vager te maken.

We schoven aan tafel tijdens een eerste GDPR-workshop van BAM, die gelukkig heel wat duidelijk maakte. We vatten dit samen in 7 vragen, en 7 antwoorden.

Dat privacy een heet hangijzer is voor veel bedrijven, is wel duidelijk. Maar de manier waarop je met de data van je doelgroepen omgaat, wordt steeds belangrijker. Met de GDPR wordt het speelveld voor marketeers grondig dooreengeschud. En wie verzuimt om de GDPR na te leven, mag zich aan fikse boetes verwachten.

Waarom is de GDPR nodig? 

Er worden steeds meer persoonsgegevens via het internet uitgewisseld. Vandaag kunnen mensen geïdentificeerd worden door de combinatie van gegevens. Hoe meer databanken er gecombineerd worden, hoe gemakkelijker mensen geprofileerd en uiteindelijk geïdentificeerd kunnen worden. Alsof dat nog niet genoeg is, staat de technologie ook niet stil. Slimme apparaten die verbinding maken met het Internet of Things zullen ook gegevensbronnen zijn om databases te verrijken.

De GDPR is in essentie een herziening van de Data Protection Directive, een Europese wetgeving uit 1995. Terwijl lidstaten deze Directive vrij konden interpreteren naar eigen binnenlandse wetgeving, is de GDPR op de meeste vlakken stikt, en dwingend.

Moet mijn bedrijf rekening houden met de GDPR?

Ja. De GDPR gaat over alle sectoren heen, en heeft een impact op ieder bedrijf dat persoonsgegevens verzamelt. De GDPR omvat heel wat bepalingen waaraan jouw bedrijf moet voldoen. De grootste workload ligt niet alleen bij het juridische departement, maar bij het hele bedrijf. Het beleid en de processen – vooral die van IT – moeten immers grondig herbekeken worden.

Wanneer mag ik persoonsgegevens verwerken?

Wanneer je persoonsgegevens verwerkt, moet daar een wettelijke grondslag voor zijn. Daaronder vallen drie opties. De eerste is de toestemming: als je de expliciete toestemming krijgt, dan is er geen discussie mogelijk. Een tweede is het contract, waarbij je gegevens mag verwerken binnen de context van het contract dat je aangaat met je klant. De derde grondslag is ietwat complexer. Daar gaat het om het gerechtigd belang voor de verwerking. Met andere woorden: als jouw bedrijf er (economisch) belang bij heeft om gegevens te verwerken, mag het in principe ook. Bijvoorbeeld voor fraudedetectie en direct marketing. Maar je moet altijd rekening houden met de verwachtingen in het kader van je relatie met de personen in kwestie.

Hoe dan ook, je moet een bepaalde grondslag kiezen, en die ook communiceren met je doelgroep, onder meer via de privacy policy.

Welke rechten hebben de mensen in mijn database?

Er zijn zo’n 8 basisrechten die mensen hebben:

- Het recht om geïnformeerd te worden: wat gebeurt er met de gegevens? Worden ze doorgegeven aan derden?
- Het recht tot toegang: personen mogen bekijken welke gegevens je bedrijf heeft verzameld.
- Recht op verbetering: personen mogen altijd hun gegevens aanpassen.
- Recht op verzet: personen mogen verzet aantekenen tegen het gebruik van hun gegevens voor bepaalde doeleinden, zoals profiling.
- Recht om vergeten te worden: personen mogen eisen dat hun gegevens uit jouw database worden gehaald.
- Recht om verwerking persoonsgegevens te beperken: wanneer er bijvoorbeeld een conflict is, kan de persoon in kwestie de verwerking van de persoonsgegevens tijdelijk ‘bevriezen’.
- Recht om data over te dragen: bijvoorbeeld naar een van jouw concurrenten.

Wat zijn de plichten van mijn bedrijf? 

Er bestaan twee verschillende spelers in dit verhaal. Enerzijds heb je de data controller, die aan de bron staat van de data. Daarnaast heb je de processor, die in opdracht van de data controller persoonsgegevens verwerkt. Denk maar aan e-mail marketingagentschappen. De relatie tussen de twee spelers moet ook formeel in een contract zijn opgenomen.

Heeft de GDPR een impact op de cybersecurity van mijn bedrijf?

Absoluut. Dat is zelfs een van de belangrijkste luiken van de GDPR. Je moet ervoor zorgen dat de kostbare persoonsgegevens veilig opgeslagen blijven. Je neemt dus best alle technische en operationele maatregelen om de beveiliging van de data te garanderen. Die maatregelen moet je ook documenteren. Bovendien gaat cybersecurity niet alleen om harde maatregelen, maar ook om het sensibiliseren en opleiden van personeel. Tenslotte geeft een regelmatige externe audit ook inspiratie om de security te versterken.

Wat bij een datalek? De GDPR schrijft een standaardprocedure voor. De oefen je best al eens op voorhand.

Moet ik een Data Protection Officer aanduiden?

Ja. Of toch in de meeste gevallen. Wanneer jouw bedrijf meer dan 250 medewerkers heeft  en/of regelmatig en systematisch persoonsgegevens monitort op grote schaal, doe je er best aan om een DPO aan te duiden.

Wat de taak van een DPO is? Hij of zij moet met kennis van zaken en op een neutrale en onafhankelijke manier onderzoeken of de privacy en de bescherming van persoonsgegevens gerespecteerd worden. Die persoon is ook het rechtstreekse aanspreekpunt voor de Privacycommissie, en mag een eigen medewerker of een externe consultant zijn.

Ben jij er klaar voor?

Toegegeven, het is een serieuze uitdaging. Want de GDPR dwingt jouw bedrijf om alle processen te herzien. Daarvoor kun je de hulp van externe specialisten goed gebruiken. Maar zie het ook als een kans om na te denken over waarom jouw bedrijf persoonsgegevens verzamelt. En wat dat betekent voor je klanten. Zie het als een eerste stap naar customer centricity, waarbij je leert van je data, en daar relevante dingen mee doet. Ook dat is een duidelijke boodschap van de GDPR.

-> Bekijk onze agenda wanneer we meer workshops rond GDPR geven