GDPR Basic guidelines for clients

Transcriptie

1

2 GDPR? General Data Protection Regulation Europese Regelgeving, met lokale toepassing door Privacy Commissie. Je moet compliant zijn tegen 25 mei 2018 Doel: Betere regulering van Privacy & Gegevensbescherming. 2

3 GDPR? Voor elk bedrijf dat persoonsgegevens gestructureerd verwerkt. Persoonsgegevens = Alle gegevens van natuurlijke personen die die geïdentifceerd zijn (bv. een naam) of die identifceerbaar zijn (bv. een klantennummer). Daarnaast zijn ook online herkenningsgegevens zoals IP-adressen en genetische en biometrische gegevens ook persoonsgegevens. 3

4 Algemene bepalingen 1. Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier. 2. Data-overdracht of dataportabiliteit: Burgers zullen hun gegevens kunnen overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen. 3. Recht om vergeten te worden: Bedrijven moeten persoonsgegevens wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden waarom die zouden moeten blijven. Ook wanneer de data inmiddels gedeeld is met derde partijen. 4. Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens. 4

5 Stappenplan voor GDPR 1. BEWUSTMAKING Zorg ervoor dat alle medewerkers in je bedrijf op de hoogte zijn van de GDPR en de implicaties ervan. Zorg ervoor dat beslissingsmakers weten wat er moet gebeuren om volledig in orde te zijn met de wetgeving. 5

6 Stappenplan voor GDPR 2. REGISTER VAN VERWERKINGSACTIVITEITEN Breng duidelijk in kaart welke persoonsgegevens je verwerkt, waarom je die verwerkt, waar je die bewaart, met welke partijen je deze persoonsgegevens deelt, enz. Je kan hiervoor een informatie-audit organiseren. Model via Privacy Commissie: 6

7 Stappenplan voor GDPR 3. PRIVACYVERKLARING Controleer of je privacyverklaring nog up-to-date is. Om in orde te zijn met de GDPR moet je de privacyverklaring aanvullen met extra informatie. Je moet onder meer de wettelijke basis voor de gegevensverwerking en de bewaarduur van de gegevens meedelen en laten weten of de gegevens ook buiten de EU gedeeld worden. De GDPR geeft verder aan dat de privacyverklaring zo duidelijk en begrijpelijk mogelijk moet zijn. 7

8 Stappenplan voor GDPR 4. WETTELIJKE BASIS Net zoals de Belgische Privacywet, vereist de GDPR een wettelijke basis voor gegevensverwerking. De bepaling van die wettelijke basis is zeer belangrijk omdat die ook deels bepaalt welke rechten de gebruiker heeft. De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking, volgens de Privacycommissie. Die wettelijke grondslag moet je in de privacyverklaring zetten en nog eens verduidelijken bij een verzoek tot toegang tot persoonsgegevens. 8

9 Stappenplan voor GDPR 5. RECHTEN VAN DE BETROKKENE 9 In de GDPR krijgt de betrokkene, of de gebruiker wiens persoonsgegevens worden verzameld, enkele bijkomende rechten en worden bestaande rechten verruimd. toegang vragen tot persoonsgegevens vragen om gegevens te verbeteren of te verwijderen vragen om de gegevensverwerking te beperken zich verzetten tegen een verwerking voor direct marketing niet onderworpen te worden aan geautomatiseerde besluitvorming en profilering gegevens in een gestructureerd, gangbaar en machineleesbaar formaat overdragen naar andere leveranciers/ bedrijven

10 Belangrijk: Privacy by design & by default Toestemming: specifiek en expliciet met inzagerecht Recht op dataportabiliteit Herkomst van de data (log) Data register op persoonsniveau (welke data waar) Internationale context: hoofdzetel en/of zetel die instaat voor dataverwerking is bepalend voor autoriteit Data Protection Officer: nodig in sommige gevallen 10

11 Verantwoordelijkheden: Jij bent verantwoordelijk t.o.v. de betrokkene. Werk je samen met verwerkers? Spreek verwerkerscontracten af. Werk je samen met cloudproviders? Controleer compliancy. Gebruik je social media? Bewaak compliancy. (bv. retargetting, custom audiences) Jij bent eindverantwoordelijke en jij hebt de bewijslast. Niet compliant? Stop op datacollectie, risico op boetes (tot 4% op wereldwijde omzet),... 11

12 Patrick De Sutter