Eind vorig jaar keurde de EU definitief de General Data Protection Regulation (GDPR) goed. Deze verordening moet vanaf 2018 in de hele Europese Unie op uniforme wijze de regels bepalen waar ondernemers rekening mee moeten houden als ze persoonsgegevens bewaren of gebruiken. Die GDPR vervangt de nationale wetgeving van de lidstaten, die meestal dateert uit de vroege jaren negentig en dus al lang niet meer aangepast is aan de digitale realiteit van de 21^ste eeuw.

Waarover gaat die GDPR dan?

De economie van de 21^ste eeuw draait op data. Klantgegevens, marketing-databases met profielen van potentiële kandidaten, Big Data zijn voor heel wat ondernemers de kern van hun business geworden. Het gevolg daarvan is dat er een wildgroei is aan applicaties en toepassingen om met die data om te gaan en daarbij wordt al te vaak het belang van de burger of de consument uit het oog verloren. Om de “data-economie” in goede banen te leiden heeft de EU deze General Data Protection Regulation in het leven geroepen.

De verordening valt uit elkaar in een aantal onderdelen, waarvan er twee van rechtstreeks belang zijn voor ondernemers.

Een eerste reeks regels bepaalt hoe persoonsgegevens verzameld mogen worden. Hierin wordt onder meer geregeld wanneer een opt-in nodig is, hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden. Ook strenge regels rond profiling van klanten of prospects zijn hierin voorzien. Veel van deze regels bestonden vroeger al, maar worden vanaf 2018 duidelijk veel strenger.

Een tweede reeks regels is echt nieuw. Die gaan over de interne organisatie van bedrijven. Zo wordt een verplichting opgelegd voor elk bedrijf om een “privacy impact assessment” te maken, een soort van veiligheidsaudit waarin bedrijven moeten onderzoeken hoe ze met data omgaan en welke risico’s op verlies of diefstal van hun data zij lopen. Op basis daarvan moet een actieplan opgezet worden om die risico’s weg te nemen. Voor heel wat bedrijven komt daar de verplichting bij om een “data protection officer” in dienst te nemen, een soort van preventie-adviseur voor privacy. Dat kan overigens een externe consultant zijn die enkele uren per week of maand beschikbaar is.

De verordening brengt nog heel wat nieuwigheden met zich, zoals bijvoorbeeld een meldplicht bij datalekken: als gegevens verloren gaan of gestolen worden, moeten de overheid én de betrokken klanten binnen 72 uur verwittigd worden.

Geldt dit ook voor mij als KMO?

De nieuwe verordening geldt voor iedereen die persoonsgegevens bijhoudt of verwerkt. Elk bedrijf dat een database heeft met klantengegevens, prospects, personeelsgegevens, gegevens van toeleveranciers, … is verplicht om zich in regel te stellen.

Dat is met andere woorden zowat elk bedrijf of elke ondernemer. Aangezien de verordening geen onderscheid maakt tussen grote en kleine bedrijven, moet ook elke KMO zich wel degelijk tegen mei 2018 in regel stellen.

Wat moet er precies gebeuren?

In de eerste plaats is het belangrijk om te weten dat mei 2018 een einddatum is. De verordening gaat dan in werking en er is géén overgangstermijn voorzien om zich nog in regel te stellen. Vanaf mei 2018 kunnen bedrijven dus (bijzonder hoge) boetes oplopen. Bovendien zullen zij vanaf dan, en wellicht al vroeger, steeds vaker van klanten en toeleveranciers te horen krijgen dat zij moeten aantonen dat ze “GDPR compliant” zijn. Een van de verplichtingen onder de nieuwe verordening is immers precies om enkel te werken met “veilige” bedrijven en om altijd en overal geschreven contracten met de nodige garanties te voorzien. Het is dus erg belangrijk om tijdig aan de slag te gaan.

Wat precies nodig is, hangt af van bedrijf tot bedrijf. In grote lijnen komt het erop neer dat een privacy audit vereist is, waarbij in kaart wordt gebracht welke data gebruikt worden binnen het bedrijf, waar die vandaan komen, wie er toegang toe heeft, welke onderaannemers (bijvoorbeeld on-line marketing-bedrijf) die gegevens in handen krijgen, … om op die manier tot inschatting van veiligheidsrisico’s te komen. Op basis daarvan kan men aan de slag voor het doorvoeren van de nodige aanpassingen op drie niveaus: het voorzien van bijkomende technische beveiliging waar nodig, het aanpassen van processen binnen het bedrijf en het aanpassen van contracten met leveranciers, arbeidsovereenkomsten, arbeidsreglementen, “bring your own device polilcies”, …

Voor heel wat bedrijven brengt dit aardig wat meer werk mee dan ze initieel verwacht hadden. Tijdig starten is dus de boodschap. Een aantal gespecialiseerde advocatenkantoren of IT-consultants kunnen u zeker tijdig op weg helpen.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Sirius Legal)

Meer info: 02/731.13.00 of www.siriuslegal.be.