Maak uw klantenbestand nu future proof
De kans is groot dat uw klantenbestand zich niet langer in een metalen fichebak bevindt. Even groot is de kans dat u zoveel mogelijk gegevens over uw klanten wil bijhouden zodat u als ondernemer of dienstverlener zo goed mogelijk kan inspelen op hun persoonlijke behoeftes. En even groot is de kans dat u nog niet helemaal op de hoogte bent van wat u allemaal te doen staat om in regel te zijn met de toekomstige wetgeving rond gegevensbescherming.
Nieuwe Europese regelgeving
Op 24 mei 2016 werd de Algemene Verordening Gegevensbescherming (GDPR of General Data Protection Regulation) gepubliceerd, een mijlpaal op het vlak van gegevensbescherming in de Europese Unie.
De GDPR voert een aantal nieuwe regels in en geeft de nationale privacy autoriteiten de mogelijkheid om zeer zware sancties op te leggen bij overtreding. Zij mogen boetes opleggen tot 20.000.000 Euro of 4% van de wereldwijde jaaromzet (het hogere bedrag zal worden toegepast)! Op 25 mei 2018 treedt de nieuwe verordening in werking, ook in België.
Verwerken van persoonsgegevens
De GDPR regelt de verwerking van persoonsgegevens. Het begrip ‘persoonsgegevens’ wordt zeer ruim opgevat: een naam, identificatienummer, adres, een IP adres, elementen die kenmerkend zijn voor de identiteit van een persoon enz. Ook het begrip ‘verwerking’ omvat heel veel handelingen. Het kan gaan om verzamelen, ordenen, opslaan, bijwerken, raadplegen, gebruiken, doorzenden en ga zo maar door. Kortom, zodra u uw klantengegevens verwerkt, valt u al onder de toepassing van de verordening.
En dat betekent dat u aan een hele rits voorwaarden moet voldoen waar u waarschijnlijk nooit eerder heeft bij stil gestaan.
Voorzorgsmaatregelen
Heeft u al een register waarin alle verwerkingsactiviteiten worden geregistreerd? Heeft u processen klaar om aan uw informatie- en meldingsplichten te voldoen (soms binnen de 72u)? Weet u wat u aan partijen die hun rechten willen uitoefenen moet antwoorden? Weet u welke rechten uw klanten hebben met betrekking tot hun gegevens? Past u het principe ‘privacy by design’ toe in uw IT omgeving en in uw operationele processen? En ‘privacy by default’? Weet u wat te doen bij datalekken? Misschien moet u zelfs een data protection impact assessment uitvoeren of een data protection officer aanstellen of inhuren? Hoort u het nu al in Keulen donderen?
De deadline is 25 mei 2018. De klok tikt…
Het is belangrijk dat u nu reeds voorbereidingen treft zodat u op tijd voldoet aan de nieuwe regels. Zo kan u onderzoeken welke types van persoonsgegevens u verwerkt, op welke grondslag ze worden verwerkt, waar deze informatie zich bevindt, wie ze gebruikt of er toegang toe heeft, welke bescherming u daarvoor heeft voorzien, welke bescherming uw dienstverleners daarvoor hebben voorzien. Denk hierbij aan een cloudleverancier, accountant, sociaal secretariaat, marketing- of communicatiebureau, IT leveranciers en call centers. Het is ook mogelijk dat u uw personeel moet opleiden, uw IT omgeving moet verbeteren of bepaalde clausules in uw contracten moet zetten.
De Belgische Privacycommissie zal de naleving van deze regels controleren en kan zoals al gezegd zeer zware boetes opleggen. Op een mooie ochtend kan een onderzoeksteam aan uw deur staan en hopelijk bent u dan niet meer vol nostalgie aan het dromen van de tijd met de metalen fichebak, maar is uw klantenbestand future proof. U heeft er nu nog de tijd voor, en wij kunnen u helpen.
