Inloggen

De GDPR: Nog een klein jaar te gaan

Geschreven door Laurens Aalbers op 6 minute read

GDPR oftewel de Europese Algemene Verordening Gegevensbescherming, is de nieuwe Europese dataprivacy wetgeving die in mei 2018 van kracht wordt.

De GDPR: Nog een klein jaar te gaan

De nieuwe wetgeving die zich richt op het wijzigen van de Europese dataprivacy wetgeving zal de digitale marketingindustrie flink ontwrichten. Met nog één jaar te gaan, wat moeten bedrijven doen om ervoor te zorgen dat ze compliant zijn met deze nieuwe regelgeving?  

In minder dan 12 maanden tijd zal een radicaal nieuwe wetgeving van kracht gaan binnen de hele Europese Unie.
De General Data Protection Regulation (GDPR), oftewel de Europese wet voor databescherming, zal elke denkbare wijze waarop de 500 miljoen consumenten in de EU hun gegevens beheren, revolutionair veranderen. Van hun Facebook-pagina tot hun doktersnotities.

Leest u dit buiten de EU of in het Verenigd Koninkrijk en denk u dat jouw bedrijf de dans zal ontspringen dankzij de onvermijdelijke Brexit, vergeet het maar. Er is geen twijfel over dat de nieuwe wet ook op jou van toepassing zal zijn...

Het GDPR zal op 25 mei 2018 in werking treden en velen wachten nog steeds op praktisch advies van de Europese Commissie dat hen helpt aan de nieuwe wetgeving te voldoen. In de tussentijd zijn er wel al enkele dingen die we definitief weten en enkele stappen die bedrijven kunnen nemen om in ieder geval op de goede weg (naar compliance) te zijn.

  1. Opgelet: als u bij aanvang van dit artikel verbijsterd bent door wat de GDPR zelfs is, dan is stap 1 om er zo snel mogelijk van op de hoogte te zijn. Een enquête in januari van 2.000 IT-professionals in het Verenigd Koninkrijk toonde aan dat 53% van hen geen idee had van de GDPR. In sommige opzichten is dit niet helemaal hun schuld. Zelfs degenen die al jarenlang betrokken zijn bij het gedoe van deze wetgeving wachten nog steeds op verduidelijking over veel van de kritieke elementen van het GDPR. Er bestaan tal van bronnen, maar pas op voor bedrijven die hun juridische dienstverlening roemen en beweren alle antwoorden te hebben: die hebben ze niet, in ieder geval niet op dit moment. (Zie hieronder voor meer informatie).

  2. Een Functionaris voor de Gegevensbescherming (Data Protection Officer) aanstellen. De volgende stap voor bedrijven is om een verantwoordelijke aan te wijzen, één enkel contactpunt die als het ware de rol van GDPR-‘orakel’ krijgt. In eerste instantie leek dit alleen een vereiste voor grotere bedrijven te zijn, maar nu lijkt dit voor alle bedrijven te gelden. Toch is het onvermijdelijk dat grotere organisaties meer kans hebben op een overtreding of zullen worden onderworpen aan onderzoek. De DPO dient onpartijdig op te treden en onafhankelijk van uw bedrijf te werken, de kans is daarom groot dat veel bedrijven deze functionarisrol zullen uitbesteden.

  3. Raadpleeg advies van uw lokale gegevensbeschermingsautoriteit (Data Protection Agency). Elk lidstaat heeft een lokale gegevensbeschermingsautoriteit en het is de verantwoordelijkheid van deze instanties om ervoor te zorgen dat zij begeleiding en hulp bieden aan bedrijven op hun weg naar compliance. Het GDPR heeft als advies dat, indien u compliant bent in een land, u compliant bent in heel Europa als gevolg van de universele aard van de implementatie van de verordening. Een volledige lijst met de lokale instanties vind u hier.

  4. Begrijp wat allemaal onder de GDPR valt. Het GDPR beperkt zich niet tot het gebruik van persoonsgegevens in digitale reclame, maar aangezien u dit artikel hier nu leest, gaan we ervan uit dat dit het gedeelte is dat u het meest interesseert. Daarom is het van essentieel belang dat uw de reikwijdte van de GDPR begrijpt. Het geldt namelijk voor alle persoonsgegevens en jouw interpretatie van persoonlijke gegevens kan verschillen met die van de EU. Zo kunnen cookies en IP’s gemakkelijk naast ras of sekse als persoonlijk identificeerbare informatie worden gezien.

  5. Weet wat pseudoniem data is. De GDPR is bedoeld om bedrijven aan te moedigen om te heroverwegen hoe persoonsgegevens van de consument gebruikt, opgeslagen, verplaatst en verwijderd worden. Een concept dat geïntroduceerd is om risico te minimaliseren is 'pseudonymisatie'; het zodanig onttrekken of scheiden van datagegevens dat een persoon niet meer gekoppeld kan worden aan een set data. Awin gebruikt bijvoorbeeld cross-device data om de consumer journey op verschillende apparaten beter te begrijpen, maar wij kunnen (en willen) niet zien wie die consumenten in de journey zijn. Het concept 'Privacy door Ontwerp' (Privacy by Design) is hier belangrijk.

  6. Als uw klanten in de EU hebt, maakt het niet uit dat u er zelf niet gevestigd bent. Het GDPR is van toepassing op consumenten in de EU, dat jouw bedrijf er geen gegevens verwerkt of geen juridische entiteit heeft is dus irrelevant. Ook bedrijven gevestigd in het Verenigd Koninkrijk of de Verenigde Staten ontkomen er niet aan, als uw producten of services biedt aan EU-burgers dan dient u compliant te zijn met de nieuwe wet.

  7. Er zijn uitzonderingen. Legitieme belangen kunnen worden aangehaald als rechtsgrondslag om persoonsgegevens te gebruiken en op te slaan, maar deze belangen zullen waarschijnlijk binnen strakke grenzen vallen die bepaald worden door de GDPR. Een van de meest begeerde praktische adviezen waar marketeers vooral erg in spanning over zijn is wat de ‘toestemming geven voor het gebruik van persoonlijke gegevens’ exact inhoudt. De handleiding wordt deze juni nog verwacht.

  8. Verruimde verplichtingen. Het GDPR is van toepassing op zowel data-controllers als data-processors. Met andere woorden, bedrijven die namens een controller optreden (bijvoorbeeld een cloud-based storage business) zullen hun zaken ook op orde moeten hebben. Dit zal de reikwijdte van de nieuwe wetgeving uitbreiden naar een groot aantal aanvullende bedrijven, die onder de GDPR zullen worden aangewezen als het ene of het andere type.

  9. Verlies de positieve aspecten niet uit het oog. Consumenten zijn al lang voorzichtig over hoe hun persoonsgegevens gebruikt worden en online heeft een volledige extra dimensie geïntroduceerd die maar weinig begrijpen. Door het bewustzijn te verhogen en de controle in de handen van ‘gewone’ consumenten te leggen, krijgt de industrie een kans om te heroverwegen hoe toestemming verkregen kan worden en hoe gegevens mogelijk in de toekomst verhandeld kunnen worden. Dit biedt vooruit(strevend) denken en progressieve bedrijven de kans om een potentieel nieuwe manier te vinden om zich te binden met toekomstige klanten.

  10. ‘Gewoon negeren’ gaat in dit geval niet op. Of u nu vindt dat dit het beste idee is dat ooit uit de EU is voortgekomen of de nieuwe wetgeving ziet als de gevaarlijkste bedreiging die onze digitale economieën zullen kennen, een ding is zeker, de GDPR is onvermijdelijk. En om dit te benadrukken zullen overtredingen van de GDPR aan bedrijven boetes bezorgen die kunnen oplopen tot maar liefst 20 miljoen euro of 4% van de jaaromzet (naargelang welke van beide hoger is). Dit is een duidelijke boodschap aan de industrie..

Voordat u in paniek raakt, er is nog genoeg tijd om u te verdiepen in de werking en regels van de GDPR. De ‘Information Commissioner’s Office’ (Britse overheidsinstantie) heeft een bijzonder goed advies voor beginners.

Als u meer achtergrondinformatie wilt, legt deze Wikipedia-pagina meer uit over de projectgroep die zich bezighoudt met het uitrollen van het GDPR.