De gevolgen van de GDPR-wet voor jouw onderneming

Geschreven door
Simon van Cauteren

De GDPR-klok tikt genadeloos door. Vanaf 25 mei 2018 moeten de bedrijven in heel Europa voldoen aan de General Data Protection Regulation die op 14 april 2016 werd goedgekeurd door het Europese Parlement. Geen idee wat die wet precies inhoudt voor jouw onderneming, en welke maatregelen je moet treffen om eraan te voldoen? De goedgekeurde tekst – die de oude Data Protection Directive 95/46/EC uit 1995 vervangt – telt maar liefst 261 pagina’s. Gelukkig hoef je die niet allemaal te doorspitten en kun je hier gewoon een handige samenvatting vinden.

GDPR: bescherming van persoonlijke data

Uiteraard komt de GDPR niet zomaar uit de lucht gevallen. De nieuwe wet biedt een antwoord op onze huidige digitale economie, waarin bedrijven een massa informatie vergaren over klanten en medewerkers – en waarin die laatsten zich meer en meer zorgen maken om hun privacy. Als bedrijf moet je vanaf 25 mei 2018 de regels van de GDPR volgen telkens wanneer je persoonsgegevens verzamelt. Niet van toepassing op jouw zaak, denk je? Die conclusie trek je maar beter niet te snel. De grens van wat juridisch beschouwd wordt als ‘persoonlijke data’ schuift namelijk op, zodat je wellicht moet herbekijken hoe je personeel aanwerft en hoe je omgaat met camerabewaking op de werkvloer en contracten (die je al dan niet deelt met serviceproviders), maar ook met monitoring van Facebook of toegangs- en uitgangscontroles. 

Data verzamelen: akkoord of niet akkoord?

Het mag duidelijk zijn dat de GDPR verregaande gevolgen heeft. Zo moet je als bedrijf een waarschuwing voorzien voor alle data die je op punt staat te verzamelen (zowel online als offline) en vooraf toestemming vragen. Dit is alvast een stevige uitdaging voor de meeste websites, die vanaf volgend jaar niet zomaar data mogen verzamelen via cookies zonder dat de bezoeker hier expliciet mee akkoord gaat.

Data opslaan: beschermen en de juiste toegangen verlenen

Hoe je de data van klanten en werknemers ook bewaart, je systeem moet absoluut waterdicht zijn. Dit spreekt misschien voor zich, maar wist je ook dat je rekening moet houden met het ‘recht om vergeten te worden’? Als bedrijf moet je persoonlijke data kunnen wissen wanneer iemand dat wil – zelfs al heb je die informatie intussen gedeeld met derden. Bovendien mogen klanten en werknemers op elk moment inzicht vragen in hun gegevens en die gegevens overdragen (wanneer ze bijvoorbeeld overschakelen op een andere dienstverlener). Ook daar zijn de meeste systemen vandaag nog niet helemaal op afgestemd.

Datalekken meteen melden

Tot slot worden bedrijven verplicht om datalekken binnen de 72 uur te melden – tenzij je kunt bewijzen dat het lek geen enkel gevaar vormt voor de data die je hebt opgeslagen. Het is dus niet alleen zaak om je privacybeleid te versterken, maar ook om je securitybeleid te finetunen en voorzorgsmaatregelen te treffen tegen cyberaanvallen. Als je gaat onderhandelen met een externe partij bij het ontdekken van een security-inbreuk, loop je het risico dat je de 72-uren-deadline niet haalt.

Blijf op de hoogte

Schrijf je in en krijg de laatste nieuwtjes in je inbox.