Home   /    Blog

De aangepaste privacywetgeving

Vanaf 25 mei 2018 gaat de nieuwe GDPR of privacywetgeving in, maar wat houdt die vernieuwde wetgeving nu precies in? We vertellen je alles wat je moet weten vanuit Marketing & Communicatie standpunt: verplichtingen, methodes, sancties, … Zo weet je perfect waar je aan toe bent voor jouw organisatie.

Wat is GDPR?

GDPR of de ‘General Data Protection Regulation’ beschermt de persoonlijke data van Europese burgers en omvat maatregelen tegen hackers en datalekken. Vanaf 25 mei 2018 moet je een procedure volgen om persoonlijke gegevens te verzamelen, te gebruiken, op te slaan en te beveiligen.

De nieuwe privacywetgeving was nodig gezien de digitale revolutie van de laatste jaren. Het is geen nieuwe wetgeving maar wel een update en uitbreiding. Zo wordt iedere organisatie die data verzamelt en/of verwerkt op grote schaal, verwacht dit op een verantwoorde en veilige manier te doen.

Waarop is de privacywetgeving van toepassing?

De GDPR is van toepassing op persoonsgegevens, dus met andere woorden op alle informatie die een link vormen met een geïdentificeerd of identificeerbaar natuurlijk persoon.

Wat zijn persoonsgegevens?

Persoonsgegevens omvatten alle informatie die een link vormen of kunnen vormen met een natuurlijk persoon. Het moet dus gaan om gegevens die toelaten iemand te identificeren: een naam, telefoonnummer, IP-adres, nummerplaat … Dit kunnen gegevens zijn die niet meteen een link vormen naar een persoon, maar die wel gevormd kan worden: je kan bijvoorbeeld gemakkelijk achterhalen wie een bepaald telefoonnummer gebruikt.

Goed om weten: algemene bedrijfsgegevens vallen niet onder de GDPR. Een algemeen e-mailadres zoals studio@easybranding.be zal niet beschermd worden door de GDPR. Maar een e-mailadres met een persoonsnaam of de verwijzing naar een persoon, zal wel beschermd worden.

DPO, sancties en datalekprocedure

Data Protection Officer (DPO)

Als je op grote schaal persoonsgegevens of gevoelige gegevens verwerkt, ben je verplicht om een DPO aan te stellen. Dit kan een intern of extern persoon zijn.

Wat doet een DPO:

  • Opvolgen of het dataproces van de privacy voldoende wordt nageleefd.
  • Als aanspreekpunt werken in het geval er privacyklachten zijn.


Een bedrijf met een webshop is bijvoorbeeld door de GDPR verplicht een Data Protection Officer aan te stellen.

De persoon die aangesteld is als DPO hoeft geen privacy-expert te zijn, maar hij moet er wel affiniteit mee hebben. Dit moet een onafhankelijk persoon zijn.

Administratieve boetes

Als je geen of onvoldoende rekening houdt met de nieuwe GDPR, kan dit leiden tot een boete van 2 tot 4% van de wereldwijde omzet. Op dit moment doet de privacycommissie nog geen controles en kunnen ze ook nog geen boetes uitschrijven, maar dit verandert vanaf 25 mei 2018. Je neemt dus best je voorzorgen.

Datalekprocedure

Elk bedrijf is verplicht een datalekprocedure op te stellen. In deze procedure staat geschreven wat er moet gebeuren als een privacyrecht geschonden wordt. Ook moet je rekening houden met de meldingsplicht hiervan.

Een voorbeeld: Als er een groot risico is dat het privacyrecht van een persoon geschonden wordt, moet je de privacycommissie hiervan binnen de 72 uur op de hoogte brengen.

Nieuwe privacywetgeving vanaf 25 mei 2018

De privacywetgeving in de praktijk

De aangepaste privacywetgeving zorgt dus voor veel regeltjes. Hieronder geven we enkele voorbeelden van hoe dit werkt in de praktijk.

Naar wie mag je nieuwsbrieven sturen?

  • Leads/klanten die zich hiermee expliciet akkoord hebben verklaard
  • Leads/klanten die zich hiermee impliciet akkoord hebben verklaard
  • Bestaande klanten

Je mag enkel gebruik maken van je bestaande klantenbestand om te communiceren over gelijkaardige producten of diensten die reeds aangekocht werden én je moet altijd, bij elke nieuwsbrief, de mogelijkheid geven om zich uit te schrijven.

Mag je de persoonsgegevens die je bezit verkopen?

  • Ja, maar enkel op voorwaarde dat de contacten in kwestie hiermee akkoord zijn.

Dit mag een impliciete of expliciete goedkeuring zijn. Als je gegevens verkoopt, moet je dit transparant, bij voorkeur uitdrukkelijk, communiceren. Het dient bv. in je contractvoorwaarden te staan. Koop je gegevens aan, vraag dan aan de verkoper om aan te tonen dat de betrokkenen goedkeuring hebben gegeven. Zo vermijd je problemen.

Doorverkopen van persoonsgegevens

Wie mag toegang hebben tot de persoonsgegevens?

  • Enkel diegene voor wie de toegang essentieel is om zijn functie uit te oefenen.

Je moet kunnen aantonen dat de werknemers verschillende rechten hebben. Er moet een beperkte toegang zijn tot de persoonsgegevens. Personen die dus nooit klantcontact hebben, mogen dus ook geen toegang hebben tot de gegevens. Leg een logboek aan met schrijf- en leesrechten van persoon tot persoon en houd hierin bij wie dingen aanpast.

Hoelang mag je persoonsgegevens bewaren?

  • Je mag de persoonsgegevens een beperkte periode bewaren.

Data mag nooit eeuwigdurend worden bijgehouden maar enkel tijdens de periode waarvan je kan aantonen dat je ze nodig hebt. Zolang iemand een actieve klant is, mag je de gegevens bijhouden. De maximale termijn voor het bijhouden van persoonsgegevens is 10 jaar, tenzij het nog steeds over een actieve klant gaat.

Een voorbeeld. Een voormalige klant doet al een jaar geen boodschappen meer in jouw winkel. Dan kan je een mailtje sturen met de vraag of ze nog op de hoogte willen gehouden worden van de acties. Als je geen antwoord of een negatief antwoord krijgt, dan moet je de gegevens wissen.

Hulp nodig bij het opbouwen van jouw identiteit?
Wij begeleiden je graag van A tot Z.

Nieuws

Easybranding werd overgenomen

Easybranding was ‘born to brand’. Al krijg je vanaf nu ‘a brand new feeling’. Op 1 juni 2022 werden alle activiteiten van Easybranding overgenomen door Hummingbirds uit Kortrijk.

Lees nieuwsbericht