D-day voor uw data: wat verandert GDPR vanaf vandaag?

©Mediafin

Vanaf vandaag eisen de nieuwe Europese databeschermingsregels (GDPR) van bedrijven en overheden dat ze zorgvuldiger omspringen met uw data. Anders dreigen monsterboetes.

Na een aanloopperiode moeten bedrijven actief in de Europese Unie voortaan in regel zijn met nieuwe databeschermingsregels. Door de opkomst van online diensten, zoals sociale media en e-commerce, beschikken steeds meer bedrijven over uw gegevens. Monsterboetes moeten erover waken dat zij uw privacy ditmaal wel ernstig nemen.

1. Waar gaat het om?

Het idee achter de General Data Protection Regulation (GDPR) is dat u de controle behoudt over wie uw data gebruikt voor welke doeleinden. Bedrijven die u nog een nieuwsbrief of promotiemail willen toesturen, moeten daarvoor uw expliciete toestemming hebben. De vraag tot toestemming moet bovendien specifiek, helder en niet dubbelzinnig geformuleerd zijn.

Maar de vereiste om uw toestemming te vragen geldt niet altijd. Soms heeft een bedrijf uw data nu eenmaal nodig om een product of dienst te kunnen leveren. Als u een pakje door een webshop wil laten leveren, heeft die uw adres nodig. U zit dan in een contractuele relatie. Ook overheden kunnen data verwerken zonder toestemming. Zij hebben wettelijke plichten te vervullen.

2. Wat mag u verwachten?

‘FACEBOOK DEED AAN MASSALE SURVEILLANCE’

Volgens claims in een rechtszaak in Californië gebruikte Facebook zijn technologie om informatie te verzamelen over gebruikers en hun vrienden, zelfs als die geen lid waren van de diensten van het sociale medium. Dat zou Facebook toegang hebben verschaft tot sms-berichten, foto’s en locaties, maar ook tot de microfoon van smartphones.

Facebook zou ook het gebruik van concurrerende apps opvolgen. Dat beweert het bedrijf Six4Three, dat Facebook voor de rechter daagde. De zaak is al twee jaar aan de gang, maar werd door The Guardian opgediept. Volgens Facebook hebben de beweringen van de aanklager geen enkele grond.

The Guardian bemachtigde ook details van een andere rechtszaak die loopt in de thuisstaat van Facebook. Daarin beweert een ander bedrijf dat Facebook een ‘kwaadwillig en frauduleus’ systeem heeft ontwikkeld om grote hoeveelheden private gegevens uit te buiten, wat het bedrijf van Mark Zuckerberg miljarden dollars heeft opgeleverd.

De zaak is gebaseerd op een grote hoeveelheid private e-mails tussen leden van de top van het bedrijf, onder wie Zuckerberg zelf. Ook daar weerlegt Facebook alle claims. Het bedrijf wil dat de zaak geschrapt wordt op basis van het argument dat het zich als mediabedrijf mag beroepen op de vrijheid van meningsuiting. Nochtans hamert Facebook er publiekelijk doorgaans op dat het een techplatform is dat niet verantwoordelijk is voor zijn inhoud.

 

U kreeg de jongste dagen en weken vermoedelijk al een regen aan mails. Die zijn bedoeld om uw toestemming te vragen om u te kunnen blijven contacteren.

Maar bedrijven presenteren, als ze degelijk voorbereid zijn, in één adem ook nieuwe privacy-instrumenten. Het gaat veelal om een dashboard waar u als klant uw privacyvoorkeuren op elk moment kunt aanpassen.

Het is immers niet omdat u eenmaal uw toestemming gaf om uw data te verwerken, dat dat altijd zo moet zijn. De nieuwe regels bepalen dat u uw gegevens te allen tijde kunt inkijken, aanpassen of laten verwijderen. Althans: u kunt daar een verzoek voor indienen. Bedrijven moeten zich daar nog altijd over buigen.

De nieuwe regels moeten u als klant ook toelaten gegevens ‘mee te nemen’. Als u vroeger van telecomoperator veranderde, had u weinig zeg over wat met uw data bij de oude dienstenleverancier gebeurde. Nu hebt u het recht de data te laten verwijderen en uw data, ‘in een leesbaar format’, mee te nemen. Dat kan concurrentie voeden.

3. Wat als ik op geen enkel mailtje reageerde?

We zagen allemaal mailtjes binnenkomen met de vraag van bedrijven of ze u nog konden contacteren. Bedrijven die uw expliciete toestemming niet hebben en u toch contacteren, doen dat vanaf vandaag in principe illegaal.

4. Wat zijn de aandachtspunten voor bedrijven?

De eerste vraag die elk bedrijf zich moet stellen, is of het persoonsgegevens verwerkt. Daarbij hoort de disclaimer dat er maar weinig bedrijven zijn die geen data verzamelen of verwerken. Persoonsgegevens blijven immers niet beperkt tot de gegevens van klanten, maar ook die van werknemers.

Om die reden zitten persoonsgegevens veelal verspreid over het hele bedrijf , van de klantendienst tot de hr. Een goede eerste stap is het opstellen van een dataregister, dat in kaart brengt welke afdeling welke soort data verwerkt. Daar kan het bedrijf dan een privacyverklaring uit puren, die oplijst welke data worden bijgehouden en met welke reden. Enkele specifieke bedrijven die op grote schaal gevoelige data verzamelen, moeten ook voortaan een ‘data protection officer’ aanstellen.

5. Zijn bedrijven klaar?

GDPR

Op 25 mei gaan in de Europese Unie nieuwe regels rond de bescherming van persoonsgegevens van kracht. Wat dat voor u betekent, als consument of ondernemer, leest u in ons dossier.

Het is veilig om te zeggen dat dat niet het geval is. De ondernemersorganisatie Voka onderstreepte gisteren nog eens dat slechts 17 procent van de bedrijven denkt helemaal klaar te zijn. De grote bedrijven, die veelal al een databeleid hadden, zijn in het voordeel. Kmo’s moeten vertrouwen op hun sectorfederatie.

6. Wie controleert en wat zijn de boetes?

Het gros van de GDPR-verordening is een herhaling van eerder bestaande principes. Het grote verschil is dat Europese bedrijven die al te laks omspringen met uw data nu in hun portemonnee getroffen kunnen worden. Met maximaal 20 miljoen euro of 4 procent van de jaaromzet zijn de boetes niet min.

Drie dingen die u moet weten over GDPR

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud