FAQ over GDPR. Wat is de GDPR en waarom is het belangrijk voor bedrijven?

Transcriptie

1 FAQ over GDPR Wat is de GDPR en waarom is het belangrijk voor bedrijven? Enkele termen uitgelegd Hoe ga ik tewerk om GDPR compliant te worden? Hoe organiseer ik dit concreet in mijn bedrijf? Vaak gestelde vragen & goed om weten Hoe helpt UBA mij hierbij? Bij wie kan ik terecht voor vragen? Wat is de GDPR en waarom is het belangrijk voor bedrijven? De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is een geheel van regels om de persoonlijke gegevens van Europese burgers beter te beschermen. De wetgeving werd in april 2016 gepubliceerd en vervangt de Europese richtlijn van (Data Protection Directive) De GDPR treedt op 25 mei 2018 officieel in werking, er zijn dus 2 overgangsjaren voorzien. Waarom werd de Europese wetgeving rond databescherming veranderd? In 1995 reeds keurde Europa de belangrijkste principes over privacy en de bescherming van persoonlijke data goed in de Data Protection Directive. Een Directive is echter een richtlijn, die dus door de verschillende lidstaten nog moet worden vertaald in lokale wetgeving. Dat leidde dus tot 28 verschillende wetgevingen. De gevolgen hiervan waren: moeilijk toepasbaar voor bedrijven die internationaal actief zijn minder goede bescherming voor consumenten in sommige landen weinig efficiënt om grote bedrijven als Google en Facebook bij te sturen Bovendien waren deze regels intussen 20 jaar oud en onvoldoende aangepast aan nieuwe ontwikkelingen als IOT, mobile apps of cloud. Op welke bedrijven is GDPR van toepassing? Op alle bedrijven en organisaties die gevestigd zijn in de Europese Unie, dus ook kleine bedrijven. Op alle bedrijven (ook niet-europese) die persoonsgegevens verwerken van betrokkenen uit de Europese Unie, in het kader van het aanbieden van goederen of 1

2 diensten (betalend of niet) of in het kader van de monitoring van het gedrag van de betrokkenen. Wat betekent de GDPR voor bedrijven? Op 25 mei 2018 zullen bedrijven die persoonsgegevens verzamelen, moeten voldoen aan de nieuwe set regels van de GDPR. Met persoonsgegevens wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden of die aan een persoon kunnen worden verbonden: een naam, adres, telefoonnummer, adres, foto, en vele andere factoren. Zo heeft de Article 29 Working Party (dat is het overlegorgaan waarin alle privacy commissies van de 28 landen vertegenwoordigd zijn) reeds beslist dat een IP-adres een persoonsgegeven is. De voornaamste vernieuwingen in de GDPR draaien rond vier pijlers: 1. Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier. 2. Verantwoording: GDPR introduceert de verplichting voor bedrijven om verantwoording af te leggen voor de verwerking van persoonsgegevens. Dat betekent dat u voor elke verwerking een doelstelling moet bepalen en een rechtsgrond moet documenteren over hoe u de verschillende principes van GDPR toepast. 3. Nieuwe rechten voor de consument: Naast de bestaande rechten (recht op informatie, toegang, correctie, en recht van verzet) introduceert GDPR onder andere het recht om vergeten te worden, het recht op overdraagbaarheid van gegevens en het recht om zich te verzetten tegen profilering en automatische verwerking. 4. Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de personen waarover gegevens werden verzameld. Om die regels na te leven, moeten bedrijven exact weten waar en hoe ze persoonsgegevens verzamelen, hoe deze verwerkt worden (opslag, gebruik, toegang, ) en hoe deze beschermd worden. Daarom is het voor de meeste bedrijven aangewezen een verantwoordelijke voor GDPR aan te stellen. Sommige bedrijven zijn zelfs verplicht een DPO, een Data Protection Officer, aan te stellen. Wat zijn de voordelen van GDPR? De GDPR kan rekenen op heel wat kritiek, maar uiteindelijk zijn er ook voordelen aan verbonden. De eenmaking van een versnipperd legaal raamwerk bijvoorbeeld. Dankzij de uiteenlopende interpretatie van de richtlijn van 1995, moesten bedrijven voorheen rekening houden met 28 verschillende wetgevingen rond databescherming. Binnenkort zorgt de GDPR voor één legaal kader dat in heel Europa geldt. Zo wordt het gemakkelijker voor kmo s om de activiteiten in het buitenland uit te breiden, aangezien ze geen rekening moeten houden met een andere wetgeving. 2

3 Bovendien kan de GDPR bedrijven op die manier collectief zo n 2,3 miljard euro per jaar doen besparen, geld dat normaal naar advocaten en consultants zou gaan om wijs te geraken uit de verschillende wetgevingen. Wat gebeurt er als de GDPR niet wordt nageleefd? Bedrijven die aan de GDPR verzuimen, stellen zich bloot aan boetes. Wanneer de verzamelde data niet correct wordt beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet (tot 10 mio euro). Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet, met een maximum van 20 miljoen euro. Bedrijven die data verwerken voor andere bedrijven kunnen echter nog andere gevolgen ondergaan: zij zullen namelijk gecontroleerd worden door hun opdrachtgever. Die mag enkel samenwerken met bedrijven die aan de GDPR voldoen. Het niet compliant zijn betekent mogelijks niet meer kunnen werken voor bepaalde klanten. Wie controleert de toepassing van de GDPR? In elk land bestaat een toezichthoudende autoriteit. In België is dat de Privacy Commissie. Enkele termen uitgelegd Wat is persoonlijke data volgens GDPR? De definitie van persoonlijke data in GDPR is erg ruim: Persoonsgegevens zijn alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een id zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de identiteit van die natuurlijke persoon. De identificatie kan mogelijk zijn met eigen of externe gegevens, nu of in de toekomst. Wat is een verwerking van persoonsgegevens? Onder de definitie van verwerking vallen elke fase van de data lifecycle: het verzamelen, opslaan, bewerken, raadplegen, gebruiken en verwijderen van data. Wie is de verantwoordelijke voor de verwerking (Data Controller)? De verantwoordelijke voor de verwerking is de persoon of de rechtspersoon die beslist welke gegevens worden verzameld en waarvoor deze worden gebruikt. Wie is de verwerker van persoonsgegevens (Data Processor)? De verwerker van persoonsgegevens is de persoon of rechtspersoon die in opdracht van de verantwoordelijke voor de verwerking, een verwerking uitvoert. 3

4 Wat betekent het recht van de persoon om geïnformeerd te zijn? Dat betekent dat elke persoon het recht heeft om op de hoogte te zijn van: Welke data u over hem of haar verzamelt Waarvoor u deze data gebruikt Hoe lang u de data bewaart Welke rechtsgrond aan de basis ligt van de verzameling Hoe hij of zij gebruik kan maken van zijn andere rechten, zoals het recht om zijn data te raadplegen, te laten verbeteren,... Wat betekent het recht van inzage? Dat betekent dat elke persoon van wie u gegevens heeft verzameld, mag vragen hem te tonen over welke gegevens het exact gaat. U bent dan verplicht alle informatie die u heeft met de persoon te delen. Uiteraard is het van belang om de identiteit van de aanvrager te controleren. Wat betekent het recht op rectificatie? Het recht op rectificatie betekent dat een persoon het recht heeft om verbetering van zijn gegevens te vragen. Als bedrijf bent u dan verplicht deze te verbeteren voor u de gegevens over deze persoon opnieuw gebruikt. Wat betekent het recht op overdraagbaarheid van gegevens? Dat betekent dat een persoon van wie u gegevens hebt verzameld, deze in elektronisch formaat (een xls, txt of csv bestand bijvoorbeeld) mag opvragen of laten doorsturen naar een nieuwe leverancier. Wat betekent het recht op gegevenswissing (recht op vergetelheid) Elke persoon heeft het recht, onder bepaalde voorwaarden, te eisen dat u de persoonlijke data waarover u beschikt, wist. Andere wetten die u verplichten bepaalde data te bewaren gaan voor op deze regel. Maak dus voor uw organisatie een overzicht van alle toepasselijke wettelijke bewaartermijnen zodat u deze kan gebruiken wanneer een consument van dit recht gebruik wenst te maken. U zal in dat geval mogelijk niet alle data kunnen wissen en zal dat ook moeten uitleggen aan de consument. Wat is profilering? Profilering is elke vorm van opmaak van profiel van een individu. Segmentatie is wellicht de meest gekende, maar ook allerlei statistische modellen zoals propensity-to-buy of churn, evenals modellen voor de toekenning van bepaalde diensten (kredieten, verzekeringen,...) of het bepalen van een tarief op maat vallen onder de noemer "profilering. De GDPR spreekt ook van "automatische beslissingen". 4

5 Wat is een DPIA? Een Data Protection Impact Assessment. Dat is een rapport dat een of meerdere data verwerkingen beschrijft en op basis van de beschrijving een risico-inschatting maakt die als basis dient om de te nemen veiligheidsmaatregelen te bepalen. Hoe ga ik tewerk om GDPR compliant te worden? Hoe organiseer ik dit concreet in mijn bedrijf? Welke bedrijven /organisaties moeten verplicht een DPO (Data Protection Officer) aanstellen? Subject to GDPR? DPO not required Are you a public service? Do core activities consist of processing which requires regular and systematic monitoring of individuals on a large scale? Do your core activities consist of processing special categories of data (3) on a large scale or about criminal convictions and offences? Appoint a DPO DPO not required by GDPR Appoint a DPO DPO not required by GDPR Appoint a DPO DPO not required by GDPR T SURE Are you processing personal data? Is your company based in the EU? Is your company based outside the EU? Subject to GDPR, go to green box Processing relates to the offering of goods/services to data subjects in the EU or to the monitoring of their behavior taking place in the EU? Subject to GDPR, go to green box Processing doesn t relate to the offering of goods/services to data subjects in the EU nor to the monitoring of their behavior taking place in the EU? Not subjected to GDPR, go to blue box Source: DPO network Not subjected to GDPR, go to blue box Aan wie rapporteert de DPO? Aan het hoogste directieniveau. Over welke vaardigheden moet een DPO beschikken? De DPO moet over voldoende kennis beschikken van de privacy en data protection wetgeving zonder daarom een jurist te moeten zijn. Hij/zij moet in staat zijn de organisatorische aspecten van GDPR te managen en moet over voldoende technische kennis beschikken om te beoordelen welke middelen moeten worden ingezet om de persoonsgegevens van de organisatie voldoende te beschermen. 5

6 Wat zijn de taken van de DPO? De DPO vervult ten minste de volgende taken: Binnen de organisatie informeren en adviseren over de verplichtingen uit hoofde van de GDPR en andere privacy en data protection wetgeving Toezien op naleving van de GDPR en andere privacy en data protection wetgeving, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij het personeel en de betreffende audits Advies verstrekken met betrekking tot de DPIA en toezien op de uitvoering daarvan in overeenstemming met artikel 35 Met de toezichthoudende autoriteit samenwerken Optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en waar passend, overleg plegen over enige andere aangelegenheid De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn/haar taken naar behoren rekening met de aan verwerkingen verbonden risico s, en met de aard, de omvang, de context en de verwerkingsdoeleinden. Hoe moet de DPO functioneren? De DPO moet onafhankelijk zijn. Dat betekent: Geen instructies krijgen in verband met de uitoefening van zijn/haar functie Niet uit zijn/haar functie ontheven worden naar aanleiding van het uitoefenen van zijn/haar functie Onderworpen zijn aan een confidentialiteitsverplichting Geen conflict of interest hebben De DPO moet staat zijn de functie uit te oefenen: Voldoende tijd krijgen om alle vragen in verband met Data Protection op te nemen Over voldoende resources beschikken Toegang hebben tot alle nodige informatie over de data en de verwerkingen De DPO moet bereikbaar zijn: Gekend zijn bij de privacy commissie Gekend zijn (= contactgegevens beschikbaar) bij het grote publiek Intern gekend en bereikbaar zijn 6

7 Moet ik steeds een opt-in / consent vragen? Nee, er zijn binnen de GDPR 6 mogelijke rechtsgronden om persoonlijke data te verzamelen. De 6 rechtsgronden zijn: Toestemming (of opt-in of consent) Het hebben van een overeenkomst of de noodzaak om over de data te beschikken om een overeenkomst te kunnen uitvoeren Legitiem belang (legitimate interest) Vitaal belang Wettelijke basis Publiek belang Het is aan u om voor elke doelstelling waarvoor u persoonlijke data verzamelt, de rechtgrond te bepalen. Neem dit op in de privacy en data protection documentatie van uw organisatie en leg ook uit waarop deze rechtsgrond volgens u de verzameling van persoonlijke data rechtvaardigt, zeker voor legitiem belang. Vaak gestelde vragen & goed om weten Moet ik voor de adressen waarvoor ik geen opt-in heb, alsnog een toestemming vragen? Ja, als u nooit een opt-in hebt gevraagd (wat vaak het geval is voor gegevens die in CRM systemen worden bewaard), bent u in principe verplicht deze toestemming te vragen voor 25 mei Behalve indien u een andere rechtsgrond heeft om deze adressen te gebruiken, bijvoorbeeld een contract. Wat als ik niet weet voor welke gegevens ik een opt-in heb, of ik heb ooit wel een opt-in gevraagd maar heb toen niet bijgehouden waar en wanneer deze gegeven is? Een alternatief scenario is om de personen van wie u het adres bezit een bericht te sturen waarin u hen inlicht van het feit dat u over deze gegevens beschikt, maar hen in het kader van de aankomende Europese Regelgeving vraagt zich uit te schrijven indien ze geen communicatie wensen te ontvangen. Doe dit enkel indien u ooit opt-in heeft gevraagd maar deze informatie niet heeft bewaard. Wanneer moet ik een opt-out of het intrekken van een consent mogelijk maken? Altijd. De personen van wie u gegevens verzamelt hebben te allen tijde het recht u te vragen het gebruik te beperken, bijvoorbeeld om hen niet meer te mailen of te bellen. 7

8 Hoe helpt UBA mij hierbij? Bij wie kan ik terecht voor vragen? UBA lanceerde eind mei 2017 de GDPR Line, een exclusive dienst voor UBAleden die eerstelijnsadvies verstrekt over de nieuwe privacy wetgeving. Hebt u na het lezen van dit document nog vragen en is uw bedrijf lid van UBA, dan kan u beroep doen op de GDPR Line via deze link: Let wel, het betreft enkel 'eerstelijns' advies. Advies over een complexe materie kan uiteraard ook worden verstrekt aan een vooraf overeengekomen uurtarief. De UBA Academy organiseerde 4 opleidingen rond GDPR, gegeven door Sophie Angenot van QuaData. De presentatie van deze opleiding kan u downloaden via deze link: UBA publiceerde het nieuwe UBA/ACC contract Het nieuwe contract bevat een uitgebreide passage over de transfer van persoonsgegevens in lijn met de Privacy-verordening en waarvoor alle partijen zich moeten voorbereiden. Het nieuwe contract kan u downloaden via deze link: UBA stelde dit document samen in samenwerking met QuaData, tevens onze partner voor de dienst GDPR Line. Voor meer informatie over de dienst GDPR-Line kan u terecht bij: Kristin Hannon Loyalty Manager kristin@ubabelgium.be Antwerpselaan 2, 1853 Strombeek-Bever 8