De privacywetten die momenteel van kracht zijn, stoelen op de Europese Data Protection Directive uit 1995. Elke Europese lidstaat heeft deze wet op zijn eigen manier geïnterpreteerd waardoor de wetten erg verschillend zijn van land tot land. Bovendien is deze wet ook verouderd aangezien er geen rekening gehouden wordt met bijvoorbeeld sociale media en cloud-technologie. Om hiermee om te gaan en te zorgen voor een uniforme Europese wetgeving, werd de General Data Protection Regulation (GDPR) opgesteld.
GDPR werd officieel van kracht in mei 2016 en voorziet een overgangsperiode voor organisaties met meer dan 250 werknemers tot 25 mei 2018. Vanaf 25 mei 2018 gelden de nieuwe Europese privacyregels dus voor elke organisatie die met persoonsgegevens werkt in alle lidstaten van de EU. Alle nationale wetten i.v.m. privacy zullen onmiddellijk vervangen worden door de GDPR. De Europese Privacy Commissie is vanaf dan ook gemachtigd om de naleving van GDPR te controleren en hoge boetes uit te schrijven bij overtredingen.
De nieuwe GDPR wetgeving steunt op 3 belangrijke pijlers:
1. Verzameling en gebruik van persoonsgegevens
Het belangrijkste kernwoord omtrent de verzameling en het gebruik van persoonsgegevens is transparantie. Ten eerste moet het de personen van wie je deze gegevens verzamelt altijd duidelijk zijn welke gegevens bijgehouden worden en op welke manier ze verzameld worden (cookies op de website, disclaimers en privacy-meldingen, dubbele opt-in voor e-mailmarketing, …).
Daarnaast moeten ze hun gegevens ook altijd kunnen inkijken. Bovendien hebben ze ook het recht om deze gegevens aan te passen of te laten verwijderen. Als de personen wiens gegevens je bijhoudt een goede reden hebben om hun gegevens aan te passen of te verwijderen, moet je dat meteen doen en hen ervan op de hoogte brengen als het gedaan is.
Verder verscherpen de wetten in verband met de bescherming van minderjarigen. Om gegevens van kinderen jonger dan 16 te verwerken, heb je volgens de GDPR uitdrukkelijke toestemming nodig van een ouder of voogd. Ook de automatische verwerking van persoonsgegevens zoals interesses, functie en locatie bijvoorbeeld wordt aan banden gelegd om de prospectie te verstrengen. In dit specifiek geval moeten de personen zelf op elk moment alle gegevens kunnen inkijken, dus niet enkel de contactgegevens maar alle informatie die over die persoon gekend is bij de organisatie.
2. Data-overdracht
Het delen van persoonsgegevens wordt ook meer gereguleerd met de GDPR. Wie zijn persoonsgegevens doorgeeft, moet ervan op de hoogte gesteld worden als deze gedeeld worden met derden. Wie e-mailadressen verzamelt om ze later door te geven aan derden, kan dat nu nog enkel via een dubbele opt-in wat inhoudt dat er twee keer toestemming gevraagd moet worden aan die persoon om de gegevens te kunnen doorgeven.
Daarnaast hebben personen ook het recht de overdracht van gegevens aan derden aan te vragen. Wie bijvoorbeeld van telecomoperator of energieleverancier verandert, hoeft niet langer zelf zijn gegevens over te dragen. Hij kan nu aan zijn huidige operator of leverancier vragen om de gegevens door te geven, wat dan gratis moet gebeuren en binnen een termijn van één maand.
3. Beveiliging
Het doel van de nieuwe GDPR is natuurlijk om de veiligheid van persoonsgegevens te verbeteren. Om de beveiliging verder aan te scherpen, zijn organisaties vanaf nu ook verplicht te melden als er een datalek plaatsvindt of gegevens worden gestolen. Als het lek gevaar inhoudt voor de verzamelde persoonsgegevens, moeten ze dit binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP) en de betrokken personen.
Daarnaast worden organisaties ook aangeraden een Data Protection Officer (DPO) aan te wijzen, een specifieke werknemer die erop moet toezien dat alle GDPR regels worden nageleefd. In bepaalde sectoren die veel met persoonsgegevens werken, zoals direct marketing en prospectie, maar ook de overheid, wordt zo een DPO zelfs verplicht.
Tot slot voorziet de nieuwe GDPR ook Data Protection Impact Assessments (DPIA). Een DPIA is een privacy audit om de manier waarop persoonsgegevens in een bedrijf verwerkt en opgeslagen worden door te lichten. Zo kunnen de veiligheidsrisico’s geïdentificeerd (en later aangepakt) worden.
Is uw organisatie klaar voor de GDPR die ingaat op 25 mei 2018?