Tag: Privacy

GDPR

Rationele aanpak van GDPR voorkomt paniek

25 mei 2018 nadert snel. Dat zorgt bij heel wat bedrijven voor paniek. Op die datum treedt de General Data Protection Regulation (GDPR) in werking. En wie niet in orde is, riskeert vanaf dan fikse boetes. Paniek is hier echter een slechte raadgever. Het is beter om het hoofd koel te houden en stap voor stap een plan van aanpak uit te werken.

GDPR heeft als doel om de rechten van een persoon te beschermen voor wat persoonsgebonden data betreft. Wat wil dit concreet zeggen? Een persoon heeft het recht om te weten welke persoonsgebonden data een bedrijf verzamelt. Maar ook met welk doel dit verzameld wordt. En voor welke periode een bedrijf die data behoudt. GDPR verplicht eigenlijk bedrijven zo om ethisch om te gaan met persoonsgebonden data.

Strategie

In het kader van GDPR is het belangrijk dat je een strategie uitwerkt voor het beheer en de beveiliging van persoonsgegevens. Hoe pak je dit aan? Toon aan dat je hebt nagedacht over het transparant omgaan met data. Sta stil bij het feit dat persoonlijke gegevens toebehoren aan personen en niet aan een bedrijf. Documenteer het verzamelen van de data, de doelstelling en het gebruik ervan. Zorg ervoor dat processen inzichtelijk zijn: wie heeft toegang tot de data en wie gebruikt ze waarvoor? Als je er als bedrijf in slaagt een en ander rationeel en stapsgewijs aan te pakken, is er geen reden tot paniek.

Dimensies en risico’s

GDPR heeft drie dimensies voor het beheer en de beveiliging van persoonsgebonden data: een juridische dimensie (contracten in orde brengen), een technische dimensie (de beveiliging van data in informatiesystemen) en een organisatorisch dimensie (het menselijke gedrag rond het beheer en de beveiliging van persoonsgebonden data).

Het is voor een bedrijf een ware uitdaging om deze drie dimensies in hun onderlinge samenhang te zien en daar een beleid voor te ontwikkelen. Concreet moet de onderneming ook de volgende afwegingen maken en de betrokken risico’s afdekken:

  • Welke persoonsgebonden data heeft een bedrijf?
  • Over hoeveel personen gaat het?
  • Zijn alle contracten in orde?
  • Is een audit van de databeveiliging noodzakelijk?
  • Is er voor elke dataverwerking een duidelijk doel en een rechtsgrond?
  • Moet de onderneming een functionaris voor gegevensbescherming (of DPO) aanstellen?
  • Zijn de medewerkers in staat om virussen en phishing e-mails te herkennen?
  • Weten de medewerkers dat het openen van bedrijfsapplicaties op een openbaar wifi-netwerk risicovol is?

Het belang van compliance

Je kan dus als bedrijf klanten kwijt geraken als je niet conform GDPR werkt. Stel dat een onderneming een adresbestand deelt met een drukkerij. Ze willen bijvoorbeeld drukwerk van persoonlijke uitnodigingen voor een evenement. Dan is de uitvoerder verantwoordelijk voor de veiligheid van de persoonsgebonden data. Het is echter aan de opdrachtgever om te controleren of het bedrijf conform GDPR werkt. Doet de drukkerij dat niet, dan is de opdrachtgever verplicht de samenwerking te stoppen. Kortom: de drukkerij heeft er alle belang bij de regels van GDPR na te leven.

GDPR geeft daarnaast een persoon ook de mogelijkheid om een tegen een bedrijf een zaak aan te spannen. Elke persoon kan namelijk de rechter verzoeken om een bedrijf te verbieden een bepaalde categorie van persoonsgebonden data te vergaren. Voor een onderneming betekent dat mogelijk dat ze (tijdelijk) bepaalde data niet mag gebruiken omdat ze niet conform GDPR werkt. Maar opnieuw, paniek draagt niets bij. Het komt er in de eerste plaats op aan een stappenplan op te stellen en daarin alle dimensies en risico’s mee te nemen.

Wil je meer weten over de rationele aanpak van GDPR? Nood aan ondersteuning van je GDPR-strategie? Ontdek ons aanbod!

GDPR

3 tips om waarde te halen uit GDPR

Over GDPR of General Data Protection Regulation hebben we al veel inkt doen vloeien. En tal van events en opleidingen georganiseerd. Toch hebben veel bedrijven nog altijd een slecht gevoel bij deze wetgeving.

Als consument vind ik dit een spijtige zaak, want deze regels zijn er net gekomen om ons en onze persoonlijke data beter te beschermen. Om het negatieve gevoel bij GDPR een beetje te doen keren, wil ik jullie graag een paar GDPR tips meegeven. Zodat je het niet enkel als een last en kost ervaart, maar ook als toegevoegde waarde ziet voor je bedrijf.

GDPR tips

  1. Europa wil het verzamelen van persoonsgegevens transparanter maken voor de consument. Dat vraagt een andere aanpak van de bedrijven. Maar het is meteen ook een opportuniteit om je merk als ‘betrouwbaar’ te positioneren. Laat deze kans niet aan voorbijgaan! Communiceer in heldere en verstaanbare taal waarom je data verzamelt en wat je ermee doet.
  2. GDPR verplicht je om de verzameling en het gebruik van persoonsgegevens te documenteren en het doel van deze verzameling te definiëren. Dat is voor sommige bedrijven een titanenwerk. Het is echter ook de ideale gelegenheid om de overvloed aan data, die je in de loop der jaren hebt vergaard, eens kritisch te bekijken. En waar mogelijk te rationaliseren. Zo kom je misschien wel tot kostenbesparingen die je anders niet had ontdekt.
  3. Nog een taak die we liever niet opnemen, is het documenteren van processen. Ook die moet je voor GDPR in kaart brengen. Want je moet weten wie toegang heeft tot de persoonlijke data, wat je ermee doet en met wie je ze deelt. Als je dan toch je processen moet uittekenen, is dit ook weer de gelegenheid bij uitstek om ze aan een optimalisatieronde te onderwerpen. De kans is groot dat je ook hier meer efficiëntie uithaalt en zelfs een betere datakwaliteit uit de brand sleept.

Wil je graag meer horen over de waarde van een ethische en GDPR compliant aanpak van persoonlijke data in je bedrijf? Stuur ons dan zeker een bericht via gdpr@quadata.eu. Vind hier meer informatie over Privacy & Data Protection

Gastblog – Big data en privacy: een moeilijk huwelijk?

Nog nooit hadden bedrijven zoveel data als vandaag. Elke dag verzenden we 145 miljard mails en googlen we met zijn allen 4,5 miljard keer. Dit levert een schat op aan informatie voor marketeers, voor het organiseren van efficiënte productie of zelfs voor fraudebestrijding. Het tijdschrift Forbes schat tegen 2025 de waarde van big data op 122 miljard dollar. In deze grote databerg zitten ook persoonsgegevens van mensen die kunnen gebruikt maar ook misbruikt worden. Onze privacy wetgeving poogt ons daarvoor te beschermen.

Privacy reglementering

We worden onder meer beschermd door de Europese Databeschermingsrichtlijn (1995) en de recente Algemene Verordening Gegevensbescherming of GDPR (2016), die vanaf 2018 van kracht zal zijn.

Deze regels gelden voor ‘persoonsgegevens’. Dit zijn alle gegevens die kunnen worden herleid tot een bepaalde persoon. Dat geldt ook wanneer individuele gegevens niet op zich, maar wel door koppeling herleidbaar zijn tot een persoon.

Bovendien moet het doel van de verwerking vaststaan (doelbinding) en moeten er zo weinig mogelijk gegevens worden verwerkt voor dat doel (dataminimalisatie).

De betrokkene moet ook geïnformeerd worden voor welk doel de gegevens zullen gebruikt worden en hoe ze verwerkt worden. Dat gebeurt in zogenaamde privacy statements.

Voor elke concreet (commercieel) gebruik van de gegevens – bv. Het aanmaken van een klantenprofiel voor het gericht aanbieden van producten – dient men toestemming te vragen voor verwerking en die toestemming is intrekbaar.

Bovendien dient de data ook beschermd te worden (tegen bv. datalekken) en kunnen de gegevens slechts bewaard te worden zolang ze nodig zijn voor het vooropgestelde doel.

Op overtredingen staan zware sancties: tot 4 % van de wereldwijde omzet.

Kan big data dan wel?

Bij big data is het doel vooraf niet bekend: er wordt zoveel mogelijk data verzameld om die vervolgens te analyseren, en te kijken of er een bepaalde toepassing mee te verzinnen is.

‘Privacy by Design’ biedt het antwoord: analyses zullen gedaan worden op geanonimiseerde gegevens en vervolgens zal op de koppeling gemaakt worden met de toestemming van de gebruiker. Indien de gebruiker weet welk product of dienst hij krijgt en daar ook de toegevoegde waarde van inziet, zal hij met plezier zijn toestemming geven voor verwerking van zijn gegevens…

De strengere bescherming van persoonsgegevens hoeft dus geenszins het gebruik van big data te beperken. Men moet er alleen innovatiever mee omgaan.

Permission marketing

De consument van vandaag – dat is in B2B-relaties niet anders – is kritisch en verwacht zoveel mogelijk gepersonaliseerde diensten of producten maar wil ook maximale bescherming van zijn persoonsgegevens.

De bedrijven van de toekomst zullen hun klanten dus moeten uitleggen wat zij te winnen hebben bij het verstrekken van hun gegevens. In ruil voor persoonlijke data zullen zij producten aangeboden krijgen die nauw aansluiten bij hun noden. Permission marketing komt dus neer op het winnen van het vertrouwen van de klant!

Johan Kemps
Advocatenkantoor Kemps & Vanstraelen
Tel. +32 15 43 41 53
www.kemps-law.be