Nieuwe Europese privacyregels?
Eind vorig jaar keurde de EU definitief de General Data Protection Regulation (GDPR) goed. Deze verordening moet vanaf mei 2018 in de ganse Europese unie op uniforme wijze de regels bepalen waarmee ondernemers en organisaties rekening moeten houden als ze persoonsgegevens bewaren of gebruiken. Die GDPR vervangt de nationale wetgeving van de lidstaten, die meestal dateert uit de vroege jaren negentig en dus al lang niet meer aangepast is aan de digitale realiteit van de eenentwintigste eeuw.
Waarover gaat die GDPR dan?
De economie van de eenentwintigste eeuw draait op data. Klantgegevens, marketingdatabases met profielen van potentiële klanten (of bv. donateurs), "big data" zijn voor heel wat ondernemers en organisaties de kern van hun activiteit geworden. Het gevolg daarvan is dat er een wildgroei is aan applicaties en toepassingen om met die data om te gaan en daarbij wordt al te vaak het belang van de burger of consument uit het oog verloren.
Om de "data-economie" in goede banen te leiden heeft de EU deze General Data Protection Regulation in het leven geroepen.
De verordening valt uit elkaar in een aantal onderdelen, waarvan er twee van rechtstreeks belang zijn voor zowat alle ondernemers en organisaties, ongeacht de vraag of zij voornamelijk online actief zijn of bvb eerder in klassieke offline activiteiten.
Een eerste reeks regels bepaalt hoe persoonsgegevens verzameld mogen worden. Hierin wordt onder meer geregeld wanneer een opt-in nodig is, hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden. Ook strenge regels rond profiling van klanten of prospects zijn hierin voorzien. Veel van deze regels bestonden vroeger al, maar worden vanaf 2018 duidelijk veel strenger.
Een tweede reeks regels is echt nieuw. Die gaan over de interne processen en organisatie. Zo wordt een verplichting opgelegd voor elke organisatie om een "privacy impact assessment" te maken, een soort van veiligheidsaudit waarin organisatie moeten onderzoeken hoe ze met data omgaan en welke risico's op verlies of diefstal van hun data zij lopen. Op basis daarvan moet een actieplan opgezet worden om die risico's weg te nemen. Voor heel wat organisaties komt daar de verplichting bij om een "Data Protection Officer" in dienst te nemen, een soort van preventieadviseur voor privacy. Dat kan overigens een externe consultant zijn die enkele uren per week of maand beschikbaar is.
De verordening brengt nog heel wat andere nieuwigheden met zich mee, zoals bijvoorbeeld een meldplicht bij datalekken: als gegevens verloren gaan of gestolen worden moeten de overheid én de betrokken personen binnen 72 uur verwittigd worden.
Ook wij als vereniging hebben ons in regel gesteld met de nieuwe wetgeving. Alle nodige documenten kan je vinden onder het menu 'Privacyverklaring'.