De GDP-wat? De General Data Protection Regulation (of Algemene Verordening Gegevensbescherming voor de Nederlandstalige medemens) is een verzameling van Europese privacyregels die als doel hebben de persoonlijke levenssfeer van het individu beter te beschermen. Elke onderneming binnen of buiten de Europese Unie die persoonsgegevens van Europese burgers verwerkt of verzamelt, wordt geacht zich aan deze regels te houden. Het is de EU trouwens menens: inbreuken kunnen worden bestraft met boetes tot 20.000.000 euro of 4% van de jaarlijkse wereldwijde omzet — afhankelijk van welk bedrag het hoogst is. Kortom: bedragen waar zelfs iemand als Mark Zuckerberg al eens een nachtje slaap om laat en sommen die een gewone sterveling van zijn leven niet bij elkaar krijgt geschraapt.

Reden tot paniek? Niet direct. Het risico dat je bedrijf morgen aan een controle wordt onderworpen, is klein. Toch willen we niet gezegd hebben dat je de regelgeving met een gerust gemoed aan je laars kan lappen — integendeel! Want ook al vraagt de GDPR geen écht onoverkomelijke zaken; het heeft wel een impact op je onderneming en sommige bepalingen resulteren in extra administratieve formaliteiten. We helpen je in dit onderdeel een eindje op weg en geven enkele praktische tips om jezelf zo goed mogelijk in regel met de GDPR te stellen. Meer gedetailleerde informatie kan je ook vinden op de website van de Belgische gegevensbeschermingsautoriteit.

KRACHTLIJNEN VAN DE GDPR

Het basisbeginsel van de GDPR is dat er op een redelijke manier wordt omgegaan met de verwerking van persoonsgegevens. Onder persoonsgegevens verstaat de wet trouwens meer dan alleen een naam of adres. Elke vorm van data waardoor een persoon mogelijks kan geïdentificeerd worden — van een IP-adres tot een strafblad —valt onder de noemer persoonsgegevens.

Meer concreet vertaalt het basisbeginsel zich in onderstaande krachtlijnen:

• Personen hebben het recht om op elk moment hun gegevens in te kijken, te corrigeren of te veranderen.
• Personen dienen expliciete toestemming te geven voor het gebruik van hun persoonsgegevens voor welk doeleinde dan ook.
• Personen kunnen de toestemming voor het gebruik van hun gegevens op eender welk moment terug intrekken.
• Personen hebben het recht om vergeten te worden.
• Personen hebben het recht om klacht in te dienen als ze niet akkoord gaan dat er bepaalde persoonsgegevens van hen worden bijgehouden.
• Last but not least: wanneer je de persoonsgegevens niet langer nodig hebt voor de verwerking ervan, mag je ze niet langer dan twee jaar bijhouden.

‘Maar ik hou als kleine starter helemaal geen persoonsgegevens bij!’, denk je nu misschien. Dus je hebt nergens op je computer een lijst staan met klanten of prospecten? Het adres of telefoonnummer van een belangrijke leverancier? Door de brede definitie van persoonsgegevens, kan het bijna niet anders dat er in jouw onderneming ook circuleren. De regels maken dan ook weinig onderscheid tussen een kleine zelfstandige of een gigantische multinational. Kleine ondernemingen zijn vrijgesteld van enkele financieel intensieve maatregelen, maar daar stopt de voorkeursbehandeling dan ook: iedereen moet zich aan de vernieuwde spelregels houden.

DE ZES RECHTSGRONDEN

Om persoonsgegevens te mogen verwerken, moet je gebruik kunnen maken van een van de zes rechtsgronden. De ene zal voor mode-ondernemingen al nuttiger zijn dan de andere, maar hieronder belichten we ze allemaal kort.

De GDPR stelt dat de verwerking van persoonsgegevens slechts rechtmatig is als je één van de zes rechtsgronden kan inroepen. ‘Keuze genoeg’, zou je denken, maar je bent in je privacyverklaring wel verplicht om op voorhand te vermelden van welke rechtsgrond je gebruik maakt. Verwisselen is niet toegestaan, dus is het belangrijk om op voorhand goed na te denken van welke rechtsgrond je gebruik wil maken.

Toestemming

De eerste rechtsgrond is toestemming. Klinkt eenvoudig, maar er komt meer bij kijken dan je op het eerste zicht zou denken. Ten eerste dient de toestemming expliciet te zijn. Gedaan dus met het hamsteren van e- mailadressen op sociale media of uit grote databestanden. Het is niet omdat iemand je LinkedIn pagina leuk vindt, dat die ook e-mails van jou wil ontvangen. Wil je prospects via een nieuwsbrief op de hoogte houden van je activiteiten, dan zullen die persoon daar expliciet en actief hun toestemming voor moeten geven. Zoiets heet in vakterminologie ‘opt-in’.

Het vervelende aan toestemming is dat mensen hun toestemming even gemakkelijk moeten kunnen intrekken. Wanneer dat het geval is, heb je geen rechtsgrond meer en mogen de persoonsgegevens met andere woorden niet langer verwerkt worden.

Veel ondernemingen denken dat ze geen nieuwe toestemming hoeven te vragen aan bestaande klanten, omdat die vroeger al hun gegevens hebben gegeven. Dat kan kloppen, als je die gegevens gebruikt om bestellingen uit te voeren (zie punt 2 hieronder) of om klanten te informeren over gelijkaardige producten of diensten. In dat geval kan je je baseren op het 'gerechtvaardigd belang' (zie punt 6), maar informeer je klanten duidelijk en geef hen de kans om zich eenvoudig af te melden. Gebruik je de gegevens voor andere doelen, zoals een nieuwsbrief waarvoor klanten zich niet eerder inschreven? Dan moet je expliciete toestemming vragen.

Kinderen onder de 16 mogen volgens de GDPR geen toestemming geven voor het gebruik van hun persoonsgegevens zonder toestemming van een ouder. Je moet als onderneming redelijke inspanningen doen om dat na te gaan – bijvoorbeeld via een bevestigingsmail naar de ouder.

Uitvoering van een overeenkomst

De tweede rechtsgrond stelt dat de verwerking van persoonsgegevens mogelijk moet zijn wanneer deze noodzakelijk zijn voor het uitvoeren van een overeenkomst. Van belang hierbij is dat de overeenkomst onder geen enkel beding kan worden uitgevoerd zonder die persoonsgegevens. Verkoop je bijvoorbeeld producten via een online webshop, dan heb je de naam en het adres van de klant nodig om die zaken te kunnen leveren.

Wettelijke verplichting

De derde rechtsgrond handelt over wettelijke verplichting. Indien andere wetten stellen dat bepaalde documenten die persoonsgegevens bevatten gedurende een bepaalde duur moeten worden bijgehouden, dan is dat een valabele rechtsgrond. Voor klanten in de creatieve sector kunnen we hiervan niet onmiddellijk een voorbeeld bedenken, maar bv. loonadministratie en identiteitsregistratie vallen onder deze rechtsgrond.

Vitale belangen

Het spreekt voor zich dat de persoonsgegevens van iemand mogen verwerkt worden als dit toelaat om het leven van die persoon te redden. Vitaal belang is de vierde rechtsgrond maar gezien het hier enkel gaat om levensbedreigende situaties, zoals bijvoorbeeld een spoedbehandeling na een zwaar verkeersongeval, zal deze rechtsgrond in de realiteit enkel mogen aangewend worden wanneer er geen enkele andere mogelijkheid is.

Algemeen belang

Als er een taak van algemeen belang vervuld dient te worden waarvoor de verwerking van persoonsgegevens noodzakelijk is, dan mogen de persoonsgegevens verwerkt worden. Net als bij de rechtsgrond van de wettelijke verplichting zal er in dat geval een andere wettelijke grondslag zijn waarin dit wordt bepaald. Onder deze rechtsgrond vallen in de eerste plaats de gebruikelijke verwerkingen die namens de overheid dienen te gebeuren.

Gerechtvaardigd belang

De zesde en laatste rechtsgrond laat het meeste ruimte voor interpretatie en is net daardoor voor heel wat bedrijven wellicht interessant. Om het gerechtvaardigd belang als rechtsgrond in te roepen moet je een belangenafweging maken. Wat is er belangrijker: de mogelijkheid tot het verwerken van de persoonsgegevens of de privacybelangen van de betrokken persoon? De wet zet met deze rechtsgrond van het gerechtvaardigd belang de deur open om aan direct marketing te doen en is tevens belangrijk voor fotografen en journalisten om hun werk naar behoren te kunnen uitvoeren.

NAAR EEN VERNIEUWD PRIVACYBELEID

Tot zover de theorie. Maar welke acties moet je nu nemen om in regel te zijn met de GDPR?

1. Ten eerste is het een uitstekend idee om je volledige privacybeleid eens onder de loep te nemen. Welke persoonsgegevens gaan er allemaal in de organisatie om? Wie heeft daar toegang toe? En vooral: kan het anders en voldoet de IT-infrastructuur?
2. Je privacybeleid moet rekening houden met de mogelijkheid van een datalek, en je onderneming moet een noodprocedure klaar hebben voor zo’n situatie. Zodra je merkt dat er persoonsgegevens zijn verdwenen of toegankelijk zijn geworden voor onbevoegden (bijvoorbeeld door hacking, verlies of een menselijke fout), ben je verplicht om dat binnen de 72 uur te melden aan de Gegevensbeschermingsautoriteit (GBA). Als het lek een hoog risico inhoudt voor de rechten van betrokkenen (bijvoorbeeld bij verlies van gevoelige gegevens), moet je ook de betrokken personen op de hoogte brengen. In je melding leg je uit wat er precies is gebeurd, welke stappen je hebt ondernomen om het lek te stoppen en welke maatregelen je neemt (of zal nemen) om herhaling te voorkomen.
3. Er dient ook een dataregister voor de verwerkingsactiviteiten te worden opgesteld. Hierin moeten personen erg duidelijk kunnen zien welke gegevens worden bijgehouden, waarom ze worden bijgehouden en hoe lang ze worden bijgehouden. Als een persoon hier niet mee akkoord gaat, heeft hij het recht om zijn persoonsgegevens over te dragen aan een derde partij of om gebruik te maken van het recht om vergeten te worden, zodat de onderneming verplicht zal zijn om zijn gegevens te verwijderen.   
4. Het aanstellen van een Data Protection Officer (DPO), zeg maar een preventieadviseur privacy, is niet verplicht voor een klein bedrijf, tenzij er op grote schaal big data wordt verwerkt of de onderneming hoofdzakelijk bezig is met direct marketing. Ook al hoef je niet per se een DPO aan te stellen, het is zeker wenselijk  om binnen je organisatie iemand aan te duiden die zich over het privacybeleid ontfermt. Maak het voor zowel klanten als jezelf gemakkelijk en maak een apart e-mailadres (bv. privacy@bedrijfsnaam.be of dpo@bedrijfsnaam.com) aan waar personen met hun privacyvragen en/of -klachten terecht kunnen.
5. Analoog aan de DPO is het wettelijk niet nodig voor kleine bedrijven om een Digital Protection Impact Assessment (DPIA) te laten uitvoeren. Deze audit wordt uitgevoerd door een externe partij die je privacybeleid onder de loep legt, de pijnpunten identificeert en gericht aanbevelingen doet. Hier geldt hetzelfde als voor de DPO: dat het niet wettelijk verplicht is, wil niet zeggen dat het geen nuttige inzichten kan verschaffen over hoe je het behandelen van persoonsgegevens binnen je onderneming gereguleerd kan stroomlijnen.

Je kan steen en been klagen over een zoveelste Europese regel waar je het praktisch nut niet onmiddellijk van ziet, maar het lijkt ons constructiever om de GDPR als een opportuniteit te beschouwen. Vergelijk het uitwerken van een correct privacybeleid met de grote schoonmaak: niemand heeft zin om eraan te beginnen, maar eenmaal het vervelende karweitje is opgeknapt, kan je met een voldaan gevoel genieten van een kraaknette onderneming.