Trends: De nieuwe Europese privacywetgeving

Trends: De nieuwe Europese privacywetgeving

'De General Data Protection Regulation (GDPR) heeft verstrekkende gevolgen en is niet vrijblijvend. Toch merk ik dat veel collega-ondernemers zich nog niet aangesproken voelen.'

20 september 2017

De General Data Protection Regulation (GDPR) heeft verstrekkende gevolgen en is niet vrijblijvend. Toch merk ik dat veel collega-ondernemers zich nog niet aangesproken voelen.'Daniëlle Vanwesenbeeck, Vlaams Parlementslid voor de Open VLD en CEO van Mastermail, waarschuwt voor de nieuwe Europese richtlijn rond privacy.

Toen ik meer dan anderhalf jaar geleden van een collega-ondernemer de vraag kreeg hoe ik dacht over de General Data Protection Regulation (GDPR), de nieuwe Europese privacywetgeving, heb ik beleefd gelachen en me er met de boutade "dat is een heel delicaat dossier" vanaf gemaakt. GDPR was toen belangrijk voor de grote bedrijven, dan zet je dat als kmo niet bovenaan op het prioriteitenlijstje.

Tot de Europese Commissie liet weten dat niet alleen grote bedrijven, maar ook bedrijven die over persoonlijke data beschikken, zoals personeelsgegevens, 'GDPR compliant' moeten zijn tegen 25 mei 2018. De regels gelden dus wel degelijk voor elk bedrijf, en het houdt in dat leveranciers die met uw data werken, ook in orde moeten zijn.

Ook personeelsgegevens zijn persoonlijke data, die zijn dus ook onderhevig aan de GDPR. Net zoals de badges, het fotoboek op het intranet, de nota's bij evaluatiegesprekken. Allemaal gegevens van natuurlijke personen, en die moeten beschermd worden, vindt de Europese Commissie.

De richtlijn heeft verstrekkende gevolgen voor onze bedrijven, en toch merk ik dat veel collega-ondernemers zich nog niet aangesproken voelen. Hoog tijd voor een wake-upcall. Ook mijn bedrijf zit in het proces om tegen 25 mei 2018 'GDPR compliant' te zijn. Geloof me: dat is niet in een weekje in orde gebracht. Ik reken er een zestal maanden voor. Dan is 25 mei plots al niet zo ver weg meer.

Het toepassingsgebied van de GDPR is de verwerking van gegevens van natuurlijke personen, en in het bijzonder de rechtvaardiging van de verwerking voor andere dan de initiële doeleinden waarvoor de gegevens verzameld zijn. Daarin zit het verschil met de huidige wetgeving.

Ik geef een voorbeeld. Als het initiële doel van de supermarkt is uw postgegevens te verzamelen om u een klantenkaart te geven, dan is het koppelen van uw aankoopgedrag aan die kaart een ander doeleinde. En daarvoor moet de consument volgens de GDPR expliciet zijn toestemming geven. De 'opt-in' in het vakjargon. De consument heeft ook het recht op inzage, op wijzigen en om vergeten te worden.

Ondernemers moeten zich liefst vandaag nog beginnen voorbereiden op de nieuwe Europese privacywetgeving

Natuurlijk beschikken de meeste bedrijven al over een heleboel persoonsgegevens voor de GDPR van kracht wordt. Die mag een bedrijf behouden, maar het moet de consument, de ontslagen werknemer of de werknemer die al vijf jaar met pensioen is en in de database zit, daarvan op de hoogte brengen.

U denkt wellicht aan banken, sociaal secretariaten, ziekenhuizen, supermarktketens en grote onlinespelers. Zij beschikken over een gigantische hoeveelheid persoonlijke data. Maar een kmo met vier werknemers beschikt ook over dat soort informatie. Ook een bedrijf dat een opdracht uitvoert voor de eigenaar van die data dient de GDPR te respecteren. Met andere woorden: een grootbank die aan een digitaal marketingbureau vraagt een campagne te versturen, kan enkel

GDPR compliant zijn als het marketingbureau dat ook is. En zo loopt de ketting voort.

Ondertussen scheiden ons nog minder dan 250 dagen (in IT-tijd is dat voorbij vijf voor twaalf) van het moment dat de GDPR toegepast zal worden. Toch zie ik bijzonder veel bedrijfsleiders voor wie de GDPR absoluut nog niet aan de orde is. Telkens wanneer ik dat hoor, schrik ik een beetje. Bovendien kan de Privacycommissie bedrijven controleren op de manier waarop ze met persoonsgebonden informatie omgaan. De boetes zijn enorm. Momenteel bestaat de Privacycommissie uit zestien mensen, maar er wordt aangeworven zodat inspecteurs bedrijven kunnen controleren op het correct toepassen van de GDPR. Hou u dus vast aan de takken van de bomen. Deze richtlijn is niet vrijblijvend.

Al begrijp ik de terughoudendheid bij bedrijfsleiders wel. Kmo's en kleinere ondernemers hebben vaak niet de kennis in huis om de noodzakelijke aanpassingen uit te voeren, of ze hebben niet de financiële middelen (of willen die niet vrijmaken) om te zorgen dat hun onderneming GDPR-proof is. Maar de tijd van afwachten is voorbij. Ondernemers moeten zich liever vandaag dan morgen beginnen voor te bereiden. In samenwerking met middenveldorganisaties worden er opleidingen en infosessies aangeboden. Met de kennis die

 ze daar opdoen, zullen de meeste ondernemers al een grote stap kunnen nemen.

Er zijn vandaag, op iets meer dan een half jaar van de deadline, nog bijzonder veel onzekerheden. Maar laat dat geen excuus zijn om er nu nog geen werk van te maken. De implicaties kunnen erg groot zijn.


Schrijf je in voor onze nieuwsbrief

{{ newsletter_message }}

{{ popup_title }}

{{ popup_close_text }}

x