Bereik opbouwen: GDPR

voor

Natuurlijk wil je als creatieve ondernemer dat zoveel mogelijk mensen binnen de kortste keren weten wie je bent en wat je doet. Toch is het niet verstandig om in het wildeweg e-mails te beginnen versturen. Niet alleen hebben zo’n cold mailings weinig effect, jezelf in de inbox worstelen van personen die daar niet om hebben gevraagd, is erg onprofessioneel. En sinds de inwerkingtreding van de GDPR op 25 mei 2018 zelfs strafbaar. Je bent gewaarschuwd!

De GDP-wat? De General Data Protection Regulation (of Algemene Verordening Gegevensbescherming voor de Nederlandstalige medemens) is een verzameling van nieuwe Europese privacyregels die als doel hebben de persoonlijke levenssfeer van het individu beter te beschermen. Elke onderneming binnen of buiten de Europese Unie die persoonsgegevens van Europese burgers verwerkt of verzamelt, wordt geacht zich aan deze regels te houden. Het is de EU trouwens menens: inbreuken kunnen worden bestraft met boetes tot 20.000.000 euro of 4% van de jaarlijkse wereldwijde omzet — afhankelijk van welk bedrag het hoogst is. Kortom: bedragen waar zelfs iemand als Mark Zuckerberg al eens een nachtje slaap om laat en sommen die een gewone sterveling van zijn leven niet bij elkaar krijgt geschraapt.

Reden tot paniek? Niet direct. Het risico dat je bedrijf morgen aan een controle wordt onderworpen, is klein. Toch willen we niet gezegd hebben dat je de regelgeving met een gerust gemoed aan je laars kan lappen — integendeel! Want ook al vraagt de GDPR geen écht onoverkomelijke zaken; het zal wel een impact hebben op je onderneming en sommige bepalingen resulteren in extra administratieve formaliteiten. We helpen je in dit onderdeel een eindje op weg en geven enkele praktische tips om jezelf zo goed mogelijk in regel met de GDPR te stellen. Meer gedetailleerde informatie kan je ook vinden op de website van de Belgische gegevensbeschermingsautoriteit.



Krachtlijnen van de GDPR

De nieuwe regelgeving rond privacy komt niet zomaar uit de lucht gevallen. De nieuwe wetgeving is gebaseerd op de bestaande wetgeving, maar brengt op enkele vlakken een verbetering, actualisering of uitdieping mee. Dit is onder andere nodig om harmonisering te brengen tussen de regelgeving in de verschillende lidstaten en de regels aan te passen aan een samenleving die almaar digitaler wordt.  

Het basisbeginsel van de GDPR is dat er op een redelijke manier wordt omgegaan met de verwerking van persoonsgegevens. Onder persoonsgegevens verstaat de wet trouwens meer dan alleen een naam of adres. Elke vorm van data waardoor een persoon mogelijks kan geïdentificeerd worden — van een IP-adres tot een strafblad —valt onder de noemer persoonsgegevens.

Meer concreet vertaalt het basisbeginsel zich in onderstaande krachtlijnen:

  • Personen hebben het recht om op elk moment hun gegevens in te kijken, te corrigeren of te veranderen.
  • Personen dienen expliciete toestemming te geven voor het gebruik van hun persoonsgegevens voor welk doeleinde dan ook.
  • Personen kunnen de toestemming voor het gebruik van hun gegevens op eender welk moment terug intrekken.
  • Personen hebben het recht om vergeten te worden.
  • Personen hebben het recht om klacht in te dienen als ze niet akkoord gaan dat er bepaalde persoonsgegevens van hen worden bijgehouden.
  • Last but not least: wanneer je de persoonsgegevens niet langer nodig hebt voor de verwerking ervan, mag je ze niet langer dan twee jaar bijhouden.

‘Maar ik hou als kleine starter helemaal geen persoonsgegevens bij!’, denk je nu misschien. Dus je hebt nergens op je computer een lijst staan met klanten of prospecten? Het adres of telefoonnummer van een belangrijke leverancier? Door de brede definitie van persoonsgegevens, kan het bijna niet anders dat er in jouw onderneming ook circuleren. De regels maken dan ook weinig onderscheid tussen een kleine zelfstandige of een gigantische multinational. Kleine ondernemingen zijn vrijgesteld van enkele financieel intensieve maatregelen, maar daar stopt de voorkeursbehandeling dan ook: iedereen moet zich aan de vernieuwde spelregels houden.

 

De zes rechtsgronden

Om persoonsgegevens te mogen verwerken, moet je gebruik kunnen maken van een van de zes rechtsgronden. De ene zal voor creatieve ondernemingen al nuttiger zijn dan de andere, maar hieronder belichten we ze allemaal kort.

De GDPR stelt dat de verwerking van persoonsgegevens slechts rechtmatig is als je één van de zes rechtsgronden kan inroepen. ‘Keuze genoeg’, zou je denken, maar je bent in je privacyverklaring wel verplicht om op voorhand te vermelden van welke rechtsgrond je gebruik maakt. Verwisselen is niet toegestaan, dus is het belangrijk om op voorhand goed na te denken van welke rechtsgrond je gebruik wil maken.

1. Toestemming

De eerste rechtsgrond is toestemming. Klinkt eenvoudig, maar er komt meer bij kijken dan je op het eerste zicht zou denken. Ten eerste dient de toestemming expliciet te zijn. Gedaan dus met het hamsteren van e-mailadressen op sociale media of uit grote databestanden. Het is niet omdat iemand je Facebookpagina leuk vindt, dat hij ook e-mails van jou wil ontvangen. Wil je iemand via een nieuwsbrief op de hoogte houden van je activiteiten, dan zal die persoon daar expliciet en actief zijn toestemming voor moeten geven. Zoiets heet in vakterminologie ‘opt-in’.

Het vervelende aan toestemming is dat een persoon zijn toestemming even gemakkelijk moet kunnen intrekken. Wanneer dat het geval is, heb je geen rechtsgrond meer en mogen de persoonsgegevens met andere woorden niet langer verwerkt worden.

De praktijk wijst uit dat nogal wat ondernemingen denken te kunnen aantonen dat bestaande klanten hun gegevens moedwillig hebben achtergelaten en dus geen nieuwe expliciete toestemming hoeven te vragen. Toekomstige rechtspraak zal moeten uitwijzen in hoeverre deze handelspraktijk in regel is met de GDPR, maar bij twijfel is het in elk geval veiliger om in de obligatoire mail met je geüpdatete privacybeleid expliciet toestemming te vragen om de persoonsgegevens te gebruiken. Nog volgens de GDPR kunnen -16-jarigen geen expliciete toestemming geven voor het gebruik van hun persoonsgegevens zonder uitdrukkelijk akkoord van een ouder. Hoe ondernemingen geacht worden om dit ten gronde te controleren, is echter nog niet helemaal duidelijk.

2. Uitvoering van een overeenkomst

De tweede rechtsgrond stelt dat de verwerking van persoonsgegevens mogelijk moet zijn wanneer deze noodzakelijk zijn voor het uitvoeren van een overeenkomst. Van belang hierbij is dat de overeenkomst onder geen enkel beding kan worden uitgevoerd zonder die persoonsgegevens. Verkoop je bijvoorbeeld producten via een online webshop, dan heb je de naam en het adres van de klant nodig om die zaken te kunnen leveren.

3. Wettelijke verplichting

De derde rechtsgrond handelt over wettelijke verplichting. Indien andere wetten stellen dat bepaalde documenten die persoonsgegevens bevatten gedurende een bepaalde duur moeten worden bijgehouden, dan is dat een valabele rechtsgrond. Voor klanten in de creatieve sector kunnen we hiervan niet onmiddellijk een voorbeeld bedenken, maar bv. loonadministratie en identiteitsregistratie vallen onder deze rechtsgrond.

4. Vitale belangen

Het spreekt voor zich dat de persoonsgegevens van iemand mogen verwerkt worden als dit toelaat om het leven van die persoon te redden. Vitaal belang is de vierde rechtsgrond maar gezien het hier enkel gaat om levensbedreigende situaties, zoals bijvoorbeeld een spoedbehandeling na een zwaar verkeersongeval, zal deze rechtsgrond in de realiteit enkel mogen aangewend worden wanneer er geen enkele andere mogelijkheid is.

5. Algemeen belang

Als er een taak van algemeen belang vervuld dient te worden waarvoor de verwerking van persoonsgegevens noodzakelijk is, dan mogen de persoonsgegevens verwerkt worden. Net als bij de rechtsgrond van de wettelijke verplichting zal er in dat geval een andere wettelijke grondslag zijn waarin dit wordt bepaald. Onder deze rechtsgrond vallen in de eerste plaats de gebruikelijke verwerkingen die namens de overheid dienen te gebeuren.

6. Gerechtvaardigd belang

De zesde en laatste rechtsgrond laat het meeste ruimte voor interpretatie en is net daardoor voor heel wat (creatieve) ondernemers wellicht interessant. Om het gerechtvaardigd belang als rechtsgrond in te roepen moet je een belangenafweging maken. Wat is er belangrijker: de mogelijkheid tot het verwerken van de persoonsgegevens of de privacybelangen van de betrokken persoon? De wet zet met deze rechtsgrond van het gerechtvaardigd belang de deur open om aan direct marketing te doen en is tevens belangrijk voor fotografen en journalisten om hun werk naar behoren te kunnen uitvoeren.

Naar een vernieuwd privacybeleid

Tot zover de theorie. Maar welke acties moet je nu nemen om in regel te zijn met de GDPR?

  1. Ten eerste is het een uitstekend idee om je huidige privacybeleid onder de loep te nemen. Welke persoonsgegevens gaan er allemaal in de organisatie om? Wie heeft daar toegang toe? En vooral: kan het anders en beter en moet de IT-infrastructuur daarvoor worden aangepast? In je vernieuwde privacybeleid zullen naast een update van de huidige maatregelen ook een aantal nieuwe verplichtingen moeten worden opgenomen. In het onderdeel ‘Je eigen website’ in deze gids lijsten we enkele technische verplichtingen op waar je rekening mee moet houden.

  2. Zo dient het privacybeleid rekening te houden met de mogelijkheid van een datalek, en dient daar een noodprocedure voor op poten te worden gezet. Van zodra een onderneming merkt dat er gevoelige gegevens zijn verdwenen (gestolen door hackers, per ongeluk openbaar gemaakt,…), ben je verplicht om dit binnen de 72 uur te melden bij de Privacycommissie of de getroffen partijen. In deze melding dien je duidelijk te vermelden welke stappen je hebt ondernomen om het datalek te dichten en welke maatregelen (zowel preventief als reactief) je hebt genomen (of zal nemen) om dit in de toekomst tegen te gaan.

  3. Er dient ook een dataregister voor de verwerkingsactiviteiten te worden opgesteld. Hierin moeten personen erg duidelijk kunnen zien welke gegevens worden bijgehouden, waarom ze worden bijgehouden en hoe lang ze worden bijgehouden. Als een persoon hier niet mee akkoord gaat, heeft hij het recht om zijn persoonsgegevens over te dragen aan een derde partij of om gebruik te maken van het recht om vergeten te worden, zodat de onderneming verplicht zal zijn om zijn gegevens te verwijderen.   

  4. Het aanstellen van een Data Protection Officer (DPO), zeg maar een preventieadviseur privacy, is niet verplicht voor een klein bedrijf, tenzij er op grote schaal big data wordt verwerkt of de onderneming hoofdzakelijk bezig is met direct marketing. Ook al hoef je niet per se een DPO aan te stellen, het is zeker wenselijk  om binnen je organisatie iemand aan te duiden die zich over het privacybeleid ontfermt. Maak het voor zowel klanten als jezelf gemakkelijk en maak een apart e-mailadres (bv. privacy@bedrijfsnaam.be of dpo@bedrijfsnaam.com) aan waar personen met hun privacyvragen en/of -klachten terecht kunnen.

  5. Analoog aan de DPO is het wettelijk niet nodig voor kleine bedrijven om een Digital Protection Impact Assessment (DPIA) te laten uitvoeren. Deze audit wordt uitgevoerd door een externe partij die je privacybeleid onder de loep legt, de pijnpunten identificeert en gericht aanbevelingen doet. Hier geldt hetzelfde als voor de DPO: dat het niet wettelijk verplicht is, wil niet zeggen dat het geen nuttige inzichten kan verschaffen over hoe je het behandelen van persoonsgegevens binnen je onderneming gereguleerd kan stroomlijnen.

Je kan steen en been klagen over een zoveelste Europese regel waar je het praktisch nut niet onmiddellijk van ziet, maar het lijkt ons constructiever om de inwerkingtreding van de GDPR als een opportuniteit te beschouwen. Vergelijk het een beetje met de grote schoonmaak: niemand heeft zin om eraan te beginnen, maar eenmaal het vervelende karweitje is opgeknapt, kan je met een voldaan gevoel genieten van een kraaknette onderneming.

Lees in deze pdf alles over 'Marketing en communicatie' in alle sectoren.

Download de pdf

Events en workshops

De creatieve sector lééft. Dankzij deze events en workshops hou je de vinger aan de pols.