Gevolgen wet privacybescherming (GDPR) voor kleine en middelgrote bedrijven

Volgend jaar 25 mei gaat de EU actief controleren op naleving van de privacybescherming zoals vastgelegd in de GDPR (AVG). Ook voor kleine en middelgrote bedrijven heeft dit consequenties.

De Europese Commissie is zo vriendelijk om een duidelijke – en interactieve! – infographic te presenteren die volgens mij ook voor grote bedrijven verhelderend is. De regels zijn streng, dus het is goed om de consequenties van de wetgeving te begrijpen.

EU GDPR infographic

Wat is GDPR en voor wie is het?

De General Data Protection Regulation (GDPR) – of Algemene Verordening Gegevensbescherming (AVG) in het Nederlands – zorgt er vanaf mei 2018 voor dat burgers meer zeggenschap hebben over hun gegevens en bedrijfsvoordelen op basis van gelijkheid. De GDPR biedt eén geheel van regels voor alle bedrijven die actief zijn in de EU, ongeacht waar ze zijn gevestigd. Dus ook de Google’s, Alibaba’s en Amazon’s van deze wereld moeten zich er aan houden.

De GDPR wil de burger de controle terug geven over de eigen persoonlijke data. Dit filmpje ‘Take control of your personal data’ laat wat dat betreft niets aan duidelijkheid over.

Wat betekent dit voor mij?

De GDPR is streng en complex, maar niet alles is voor iedereen van toepassing. De infographic legt dat uit in vier onderdelen:

1. Wat zijn persoonsgegevens? Iemands naam en adres zijn al privacygevoelige gegevens. Als je die verzamelt, opslaat en gebruikt – voor jezelf of voor een andere organisatie – dan is de GDPR op jou van toepassing.

2. Waarom zijn de regels gewijzigd? Er was bij consumenten te weinig vertrouwen in de oude regels voor gegevensbescherming. Eén set van regels voor de hele EU maakt zaken doen makkelijker en eerlijker en geeft de consument en burger meer vertrouwen.

3. Wat moet uw bedrijf doen? In 9 ‘bolletjes’ legt de infographic wat je moet doen op het gebied van communicatie, toestemming, toegang en overdraagbaarheid, waarschuwingen, het wissen van gegevens, profilering, marketing, bescherming van gevoelige gegevens en gegevensdoorgifte buiten de EU.

4. De kosten van niet-naleving. In Nederland bewaakt de Autoriteit Persoonsgegevens (AP) de naleving van de GDPR. In België is dat de Commissie voor de bescherming van de persoonslijke levenssfeer (CBPL). Denk niet dat je als ‘kleine club’ de dans wel zult ontspringen. Bij een klacht van een consument springt de AP of CBPL er bovenop.

EU GDPR infographic kosten

Bescherming ‘by design’

De infographic zegt letterlijk: “Neem gegevensbescherming mee in het ontwerp. Bouw, vanaf het vroegste stadium van ontwikkeling, waarborgen voor gegevensbescherming in in uw producten en diensten.” Dit gaat verder dan check lists en een ‘register gegevensbewerking’.

De architectuur van je informatiesystemen, de informatie zelf en ook de governance moeten de bescherming van persoonsgegevens garanderen. Weet je welke informatie je allemaal registreert, waar die informatie staat, hoe lang die wordt bewaard en hoe je die informatie op verzoek en binnen een beperkte termijn permanent kunt wissen? Dit moet je allemaal kunnen aantonen.

Laat je goed adviseren

Hou bij het lezen van de infographic wel deze disclaimer voor ogen: “Dit document vertegenwoordigt niet het officiële standpunt van de Europese Commissie en komt niet in de plaats van de wetgeving.” De GDPR is een ingewikkeld stukje wetgeving. Deze infographic wil verduidelijken, maar vervangt niet alle wetteksten.

Laat je adviseren door een expert. In de GDPR is nog lang niet alles duidelijk en er zijn nog ‘grijze gebieden’ die ruimte laten voor interpretatie. Dus gebruik deze handige lakmoesproef. Als iemand beweert alles te weten over de GDPR en ook een kant-en-klaar advies – of zelfs een tool heeft – dan moet je niet met die persoon in zee gaan.

Bekijk de infographic over de GDPR