Uitgelegd

GDPR in vier vragen en antwoorden

Uitgelegd door Pieter Haeck

Op 25 mei gaan in de Europese Unie nieuwe regels rond de bescherming van persoonsgegevens van kracht. Maar wat gaat u, als consument of ondernemer, er van merken? De Tijd lijst het op.

START

De vragen

/

Waar draaien de nieuwe regels om?

Door de opkomst van online diensten, gaande van sociale media tot e-commerce, zijn steeds meer bedrijven in het bezit van uw persoonsgegevens. Als een webshop een pakje wil laten leveren, vraagt het uw adres en contactgegevens. Maar om contact te houden met vrienden, levert u zelf ook een hoop gegevens aan bijvoorbeeld Facebook. Het centrale idee van de nieuwe regels is dat u de controle behoudt over wie uw gegevens gebruikt voor welke doeleinden.

/

Wat mag u concreet verwachten als klant?

De nieuwe databeschermingsregels stellen dat een bedrijf uw expliciete toestemming moet vragen als het uw gegevens wil gebruiken. Veel bedrijven vragen daarom opnieuw uw fiat om u promotiemailtjes te mogen sturen.

Niet eender welke toestemming is goed genoeg. Een bedrijf moet de vraag om toestemming specifiek, helder en niet dubbelzinnig formuleren, zodat u een geïnformeerde keuze kan maken. Deze vereiste geldt niet altijd. Soms heeft een bedrijf uw data gewoon nodig om zijn werk te kunnen doen, bijvoorbeeld bij het leveren van een pakje.

E-mail

De nieuwe Europese regels introduceren ook het idee dat je je data moet kunnen wijzigen, verwijderen of verplaatsen. Als je bijvoorbeeld voor een nieuwe telecomoperator kiest, kan je vragen om je data over te zetten en ze dus te verwijderen bij je oude operator. Bedrijven zullen ook moeten openstaan voor verzoeken om data aan te passen.

/

Wat zijn de aandachtspunten als bedrijf?

De eerste vraag die elk bedrijf zich moet stellen, is of het persoonsgegevens verwerkt. Daarbij hoort meteen de disclaimer dat er maar weinig bedrijven zijn die geen data verzamelen of verwerken. Als we spreken over ‘persoonsgegevens’, gaat het ook om de data van de werknemers.

Een goede eerste stap is het opstellen van een dataregister, dat in kaart brengt welke divisie welke data verzamelt en verwerkt. Sommige bedrijven, die bijvoorbeeld op grote schaal gevoelige data verwerken, moeten ook een ‘data protection officer’ aanstellen. Verder is het nuttig kanalen te ontwikkelen waarlangs klanten hun verzoeken over hun data na 25 mei kunnen ventileren.

/

Wie controleert en wat zijn de sancties?

De sancties voor bedrijven die al te laks omspringen met uw data, zijn niet min. Het gaat om geldboetes die kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaarlijkse omzet.

4procentBedrijven kunnen een geldboete oplopen tot 4 procent van hun wereldwijde jaarlijkse omzet.

In België zal de Gegevensbeschermingautoriteit de naleving van de nieuwe databeschermingsregels controleren. De omgebouwde privacycommissie heeft daarvoor extra mankracht en een sanctiebevoegdheid gekregen. Maar de voorzitter van de instantie, Willem Debeuckelaere, gaf al aan dat het in eerste instantie een pragmatische benadering zal volgen. Preventie krijgt voorkeur op repressie.