GDPR? Dat staat voor de nieuwe General Data Protection Regulation (GDPR). Deze Europese richtlijn heeft een grote impact op zowel IT, HR, Sales en Marketing… Wie in orde wil zijn voor de deadline van mei 2018 kan best nu al in actie treden. Dat is echt niets te vroeg, zeggen specialisten. Wat kunt en moet u doen?
U heeft uitdrukkelijke toestemming nodig van personen om gegevens over hen te verwerken. Daarnaast herziet u best ook alle contracten met derde partijen die uw gegevens bewaren, verwerken etc.
Wanneer er een incident plaatsvindt dat de integriteit van gegevens in gevaar brengt – denk bv. aan een hacker die patiëntengegevens van een hospitaal hackt – moet u binnen de 72 uur de nationale toezichthouder informeren. In België is dat de Privacycommissie. Wanneer de gehackte gegevens niet geëncrypteerd zijn, moeten ook de personen van wie de gegevens gekraakt werden hierover geïnformeerd worden.
De regels voor de export van data naar niet EU-landen verstrengen. Ver van uw bed, denkt u? Think again. ‘Een situatie waar een onderneming een CRM heeft bij een datacenter in Luik, dat voor zijn service en technische ondersteuning een beroep doet op een bedrijf in India, is niet denkbeeldig. In dat geval moet het bedrijf met hen een doorgiftecontract voor data afsluiten’, zegt Tom De Cordier die als advocaat bij het kantoor CMS onder meer gespecialiseerd is in data privacy wetgeving.
De bekende privacy notice die u vandaag al hanteert, moet nu ook expliciet vermelden welke data u bewaart.
Die inventariseert alle dataprocessen: welke gegevens bewaart u, wat doet u ermee doen, met wie deelt u ze… Het volstaat niet langer u aan de wet te voldoen, uw onderneming moet dat ook te allen tijde kunnen aantonen, wanneer dat gevraagd wordt. Een opdracht voor de data protection officer.
Zet een policy op van maatregels en vermeld hoe uw onderneming zal reageren op inbreuken. ‘Het komt erop aan een vorm van governance te implementeren, zodat uw onderneming continu conform is met de nieuwe regels’, aldus Tom De Cordier. Review en update de policy regelmatig.
De wet én de sancties worden strenger. Controleorganen kunnen boetes geven tot 4% van de jaarlijkse omzet.
De nieuwe GDPR werd in april 2016 opgesteld. Europa geeft ondernemingen tot 25 mei 2018 de tijd om zich in orde te stellen. De transitieperiode van twee jaar die de EU voorziet, is er niet zonder reden, er is heel wat werk aan de winkel!