Wat een KMO moet weten over GDPR

Global Data Protection Regulation, of GDPR is een Europese wetgeving die op 24 mei 2016 in werking is getreden. Het vervangt een verouderde Europese wetgeving uit 1995 met betrekking tot de bescherming van natuurlijke personen. Meer specifiek de verwerking en het vrije verkeer van de gegevens over deze natuurlijke personen, zoals bijvoorbeeld hun e-mailadres en postadres, maar evengoed financiële en medische gegevens en nog veel meer.

Omdat dit van een onderneming wel wat inspanningen vraagt, krijgt iedere onderneming van de Europese Unie 2 jaar tijd om zich hier optimaal op voor te bereiden. Concreet: vanaf 25 mei 2018 is iedere onderneming aansprakelijk op het naleven van deze wetgeving. Het niet correct naleven kan boetes tot 4% van jouw jaaromzet opleveren… Je bent ongetwijfeld volledig gefocust vanaf nu 😊

Betekent dit dat je nu halsbrekende toeren moet uithalen om helemaal klaar te zijn hiervoor? Neen, absoluut niet. Laat je vooral niet afschrikken door de wilde geruchten die je hier en daar in de wandelgangen opvangt. Met een korte checklist bent je al een heel eind op weg.

De hele GDPR wetgeving is gebaseerd op volgende basisprincipes:

  1. GDPR is van toepassing op iedereen die binnen de EU werkzaam is en gegevens verzamelt
  2. Transparantie is key. Zorg dat je duidelijk communiceert met jouw contacten over;
    • Welke gegevens je van hen zal bewaren
    • Waarom je die zal bewaren
    • Hoe lang je die zal bewaren
  3. RTBF is niet alleen een TV-zender, het staat ook voor “The Right to Be Forgotten”. Met andere woorden: bied jouw contacten te allen tijde de mogelijkheid om zijn/haar gegevens te verwijderen of aan te passen.
  4. Indien er zich een lek voordoet in de gegevensbeveiliging moet je dit binnen de 72 uur melden aan de privacy commissie
  5. Daarnaast dient je een register bij te houden waarin je alle bewegingen of verplaatsingen die deze gegevens ondergaan zal bijhouden
  6. Voor de technische beveiliging van de gegevens (IT-gerelateerd) neemt je best een specialist ter zake onder de arm.

Verder zijn er nog enkele specifieke GDPR-aandachtspunten, die minder toepasbaar zijn in het Vlaamse KMO landschap:

  1. Het aanstellen van een DPO (Data Protection Officer) is nodig
    • Als jouw organisatie actief is in de publieke sector
    • Als je gegevens verwerkt uit een bijzondere categorie (religie, politiek, strafrechtelijke feiten, …)
    • Als je regelmatige en stelselmatige observatie” nodig hebt (al is de wetgeving hier zelf niet meteen duidelijk over)
  2. Het gebruik van de gegevens buiten de EU vraagt ook enkele specifieke aandachtspunten.

Hoe kan je hier nu het best mee kan omgaan en hier voordeel uit kan halen? Dat lees je in onze volgende blog over GDPR.

2018-04-27T16:11:57+00:00