Op 21 juni 2017 ging onze e-commerce consultant, Yannick, voor eWINGS naar de GDPR Conference. Yannick bezocht deze conferentie zonder voorkennis van GDPR en de consequenties. Hierbij een kort verslag van de 8 elementen die u moet weten over GDPR:
GDPR, say what?
Eerst en vooral, wat is GDPR?
GDPR, oftewel de General Data Protection Regulation, is een nieuwe wetgeving van het Europees parlement, de Europese Raad en de Europese Commissie en heeft als doel om de persoonlijke gegevens van alle individuen binnen de Europese Unie te beschermen. Daarnaast regelt dit ook hoe de data van Europeanen buiten de EU moet behandeld worden.
Het voornaamste doel is om Europeanen terug controle te geven over hun persoonlijke gegevens en om de regelgeving op dit gebied te vereenvoudigen. Op dit moment heeft elk land binnen de Europese Unie zijn eigen regelgeving met betrekking tot privacy en data-bescherming. Na 25 mei 2018 zal dit vervangen worden door de bepalingen van de GDPR.
In tegenstelling tot veel ‘directives’ van de EU, zal deze wetgeving wel degelijk meteen ingaan op de vooropgestelde datum en moeten de lokale parlementen dit niet meer ratificeren.
GDPR in 8 belangrijke punten
1/ In kaart brengen van uw data
Onder de nieuwe regelgeving wordt er verwacht dat u als bedrijf op elk moment een antwoord kan geven op:
- welke data u verzamelt en bepalen in welke mate het om gevoelige informatie gaat
- hoe u dit doet
- waarom u dit doet
- wat u met deze data doet
- wie toegang heeft tot deze informatie
- hoe lang u deze informatie nodig heeft
Belangrijk is ook om te weten welke data als ‘persoonlijke gegevens’ bestempeld worden. Uiteraard vallen bijvoorbeeld: naam, geslacht, e-mailadres, etc. hieronder, maar er zijn er nog wel een paar die u misschien niet direct verwacht. Denk bijvoorbeeld aan IP-adres of cookie id’s.
GDPR stelt dat alle persoonlijke gegevens, die kunnen leiden naar de identificatie van een individu moeten beschermd worden als dusdanig. Het hoeft niet noodzakelijk te zijn dat u zelf in staat bent om de identificatie te doen. Als iemand anders het eventueel kan, dan blijft u verantwoordelijk voor de beveiliging van de gegevens.
2/ Bescherming van de gebruiker
Wanneer u werkt met data van uw gebruikers of klanten, dan zal u nadat de GDPR in voege is getreden, rekening moeten houden met enkele rechten van deze klant of gebruiker:
- Right of information
- U moet uw klant of contact kunnen vertellen welke informatie u over hem/haar hebt verzameld.
- Right to access
- Uw klant of contact moet op eender welk moment toegang krijgen tot zijn informatie.
- Right to rectification
- Uw klant of contact moet op eender welk moment zijn gegevens kunnen verbeteren.
- Right to object
- Uw klant of contact moet altijd kunnen aangeven dat data-collectie niet toegestaan is.
- Right to be forgotten
- Uw klant of contact mag ten allen tijde vragen om alle informatie die u hebt verzameld, te verwijderen. Dit is inclusief eventuele order-informatie. Dit leidt voor veel bedrijven tot boekhoudkundige problemen. Volgens GDPR moet u steeds aan dit verzoek voldoen, ook al geeft dit praktische problemen.
3/ GDPR in de EU, maar wat met de rest van wereld?
De GDPR vervangt vanaf 25 mei 2018 de nationale wetgevingen met betrekking tot privacy en data-bescherming. Dit lost het probleem met niet-complementaire wetgeving tussen de verschillende EU-landen op, maar de wereld stopt uiteraard niet aan de grenzen van de EU.
Wat met alle tools uit de USA? Wat met de tools uit de UK (post-Brexit)? Wat met China, India, Australië, etc.?
Over het algemeen kunnen we stellen dat eender welke applicatie die gegevens bevat over burgers van de Europese Unie, moet voldoen aan de regels van de GDPR. Uiteraard moeten die applicaties zorgen dat ze GDPR-compliant zijn, maar ook opgelet aan de business owners: u bent zelf verantwoordelijk voor welke tools u gebruikt.
4/ Privacy by design en privacy by default
Privacy by design betekent eigenlijk dat elke service of business flow moet ontworpen worden met data-bescherming en privacy in het achterhoofd. Een organisatie is verantwoordelijk voor het in acht nemen van de nodige beveiligingsmaatregelen én dat de nodige monitoring actief is op de correcte naleving hiervan.
Privacy by default wil zeggen dat elke service of business flow standaard met de meest strikte privacy-instellingen moet geconfigureerd zijn. De gebruiker zou nooit een manuele actie mogen doen om in de best beschermde situatie te komen.
5/ DPO, wat is het en heeft uw bedrijf het nodig?
De DPO, oftewel Data Protection Officer, is de persoon die binnen uw organisatie verantwoordelijk is voor de correcte toepassing van de GDPR. Dit omvat enerzijds het correct implementeren van GDPR-proof data-flows. Anderzijds het monitoren van de correcte naleving van de geïmplementeerde process.
Bent u een organisatie van meer dan 250 werknemers of een overheidsinstelling, dan is het aanwerven van een DPO verplicht. Zeker binnen organisaties met een zekere omvang wordt aangeraden om binnen de verschillende departmenten een data protection lead aan te stellen, die samen met de DPO de nieuwe en bestaande flows monitort.
6/ Profiling en consent
GDPR zal het leven van veel marketeers niet vereenvoudigen. Op dit moment ziet u dikwijls cookie banners, waarbij men u informeert over het feit dat men data verzamelt voor marketing-doeleinden. Volgens Mathias Matthiesen van IAB zal dit post-GDPR moeten veranderen. Het zal enkel toegestaan zijn om cookies te plaatsen wanneer u een expliciete toestemming hebt gekregen.
Concreet: een adverteerder wil advertenties plaatsen op de website van een krant. Hiervoor gebruikt de ene partij een advertentienetwerk. De andere partij gebruikt een tool om de advertentiespaces optimaal op te vullen.
Onder GDPR heeft de krant niet enkel ‘consent’ nodig om advertenties te laten zien. Het zal ook consent nodig hebben om te bepalen wie de gebruiker is (profiling), om de data door te geven aan de adverteerder en alle partijen hiertussen. Stel dat er in totaal 7 partijen tussen adverteerder en eindgebruiker zitten, dan moet deze eindgebruiker ‘consent’ geven voor alle partijen in de ketting.
Uiteraard is zeker in een media-omgeving profiling essentieel. Dit zorgt ervoor dat advertenties relevant zijn voor de gebruiker. De waarde van de advertentieruimte stijgt hierdoor en als de media voldoende verdient via advertenties, dan kan men ‘nieuws’ gratis blijven aanbieden.
Gaan we daardoor cookie walls? Bezoek telegraaf.nl maar eens, daar ziet u al zo’n cookie wall in actie.
7/ Data breach
Een data breach is de situatie waarbij eender welke vorm van persoonlijke data op foute wijze wordt behandeld. Denk bijvoorbeeld aan een webshop die een excel-file met persoonlijke klantinformatie, zonder expliciete toestemming, naar een extern persoon verstuurt. De webshop is in dit geval verplicht om binnen de 72 uur nadat men dit heeft vastgesteld, de klant op de hoogte te stellen. Daarnaast moet ook de Privacy Commissie – binnen dezelfde termijn – ingelicht worden.
Indien u dit niet doet, kan dit resulteren in serieuze boetes.
8/ Boetes
Wie inbreuken pleegt op de regels van de GDPR kan zich verwachten aan serieuze boetes. De Privacy Commissie zal gemachtigd zijn om boetes te geven tot €20 miljoen of 4% van de totale omzet van de organisatie.
Disclaimer:
eWINGS is geen juridische organisatie en eWINGS kan niet verantwoordelijk gehouden worden voor de informatie in dit bericht. Hierboven werd een overzicht gegeven met de belangrijkste punten die werden aangehaald op de GDPR Conference. Indien u professioneel advies nodig hebt, dan kan u zich steeds wenden tot juridische bureaus (zoals TheJurists of Sirius Legal) die zich specialiseren in deze materie.