GDPR

Introduction to the Studio

Branding agency

General Data Protection Regulation

Werken met We Make

1. GDPR, wat is dat?

De Europese GDPR (General Data Protection Regulation) is een privacyverordening die de wetten rond het beheer en de beveiliging van persoonlijke gegevens van Europese burgers herschrijft.

 

De GDPR wordt vanaf 25 mei 2018 van
kracht en is verplicht voor iedereen die met persoonsgegevens werkt!

 

“De GDPR geeft individuen
opniew controle over hun persoonlijke gegevens.”

 

Europa’s Verouderde databeschermingsrichtlijn.

Op dit moment voldoen Europese bedrijven aan de Databeschermingsrichtlijn, een wetgeving inzake privacy en gegevensbescherming die al sinds 1995 bestaat.
Sinds dan is het internet razendsnel geëvolueerd, dus het was eigenlijk ook dringend tijd dat deze eens herbekeken werd.
De GDPR treedt op 25 mei 2018 in werking en bindt elk Europees land aan dezelfde privacyregels. Als uw bedrijf voldoet aan de GDPR, stemt dit grotendeels overeen met de privacywetgeving in alle Europese landen.

2. De basisprincipes

Heel eenvoudig gesteld, de GDPR is van toepassing zodra er persoonsgegevens worden bewaard en verwerkt. In dit document zullen wij u deze richtlijnen op een heldere manier proberen uit te leggen. U zal zien dat er naast administratieve aandachtspunten en specifieke aanpassingen aan uw manier van werken er ook heel wat voordelen aan de GDPR verbonden zijn.

 

En wat als ik niets doe?

Bedrijven die niet aan de GDPR voldoen, zullen administratieve boetes opgelegd krijgen door de lokale gegevensbeschermingsautoriteit. Die boetes kunnen oplopen tot maar liefst 4% van de omzet van uw bedrijf wanneer verschillende aanmaningen en schorsingen genegeerd blijven.

 

Elk bedrijf moet de juiste maatregelen nemen om te voldoen aan de privacyverklaring, vóór 25 mei 2018. Daarbij hoort onder andere ook de ontwikkeling van een incidentenprocedure en privacyverklaring.

 

Door niet te voldoen aan de GDPR verliest u misschien het vertrouwen van uw klanten. Het kan de goede reputatie van uw bedrijf dus schaden.

Wat zijn persoonsgegevens?

Persoonsgegevens of persoonlijke gegevens zijn alle data over een geïdentificeerde of identificeerbare natuurlijke persoon.

 

Voorbeelden van persoonlijke gegevens zijn:

 

• Voor- en achternaam
• Telefoonnummer
• Adres
• Geslacht en nationaliteit
• Bankgegevens
• Medische informatie
• Alle gegevens met betrekking tot persoonlijke interesses
• Een e-mailadres zoals naam.naam@bedrijf.com
• Websitegedrag
• Identificatienummers van bankkaarten of identiteitskaarten
• Locatiegegevens (bijvoorbeeld: de functie voor locatiegegevens op een smartphone)
• Een Internet Protocol (IP)-adres
• Een cookie-ID
• De advertentie-ID van uw mobiele telefoon (het unieke ID-nummer voor elk mobiel toestel dat advertentienetwerken gebruikt om doelgerichte advertenties weer te geven)

 

Gevoelige persoonlijke gegevens worden gezien als een specifieke categorie en krijgen extra bescherming. Bijvoorbeeld medische informatie, gegevens over etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, vakbondslidmaatschappen of genetische en biometrische gegevens (zoals vingerafdrukken).

 

We spreken over persoonsgegevens totdat er geen identificeerbare elementen meer zijn en de reconstructie ervan niet langer mogelijk is.

3. Wat betekent dit voor u?

Billijkheid en transparantie:

Persoonsgegevens moeten rechtmatig, billijk (of gewettigd) en op een transparante manier worden verwerkt. U moet uw klanten dus informeren over de gegevens die u over hen verzamelt en hoe u die gebruikt. Voorbeeld: Luchtvaartmaatschappijen mogen uw geboortedatum vragen omdat die informatie noodzakelijk is voor de douane, maar mogen dit niet gebruiken voor marketingdoeleinden.

 

Doelbinding:

U mag enkel persoonsgegevens verzamelen voor specifieke, expliciete en legitieme doeleinden. Nadat u uw klanten heeft geïnformeerd over de manier waarop u persoonlijke gegevens gebruikt, kan u die gegevens dus enkel voor deze doeleinden gebruiken.

Voorbeeld: Alcoholproducenten hebben een legitieme basis om uw geboortedatum te vragen: ze mogen hun product niet aanbieden aan personen onder een bepaalde leeftijd.

 

Gegevensminimalisering:

Organisaties mogen enkel gegevens verzamelen die adequaat, relevant en beperkt zijn tot datgene wat noodzakelijk is voor de doeleinden. U kan dus enkel de informatie ragen die nodig is voor het proces.

Voorbeeld: Een bezorgdienst heeft geen gewettigde reden om de geboortedatum van iemand te vragen, want deze gegevens zijn niet noodzakelijk om een pakket af te leveren.

 

Nauwkeurigheid:

Persoonsgegevens moeten correct en up-to-date zijn.

Voorbeeld: Wanneer klanten verhuizen of hun e-mailadres wijzigen, hebben ze het recht om bedrijven te vragen die gegevens te veranderen.

 

Verwijderen van gegevens:

Gegevens mogen enkel bewaard worden zolang dat nodig is om het oorspronkelijke doel te vervullen, bijvoorbeeld zolang iemand klant is. U moet op voorhand duidelijk definiëren hoe lang u de gegevens nodig hebt. Voorbeeld: Dankzij de GDPR krijgen individuen meer controle over hun persoonlijke gegevens. Wanneer klanten niet langer contact willen met een bedrijf of hun persoonsgegevens niet langer willen verstrekken, hebben ze het recht om hun gegevens te laten verwijderen – dit wordt ook wel ‘het recht om vergeten te worden’ genoemd.

 

Beveiliging:

Organisaties zijn verplicht om technische en organisatorische beveiligingsmaatregelen te nemen om persoonsgegevens te beschermen. Welke maatregelen dat precies zijn, is afhankelijk van de aard, omvang, context en doeleinden waarvoor u gegevens verwerkt, en de rechten en vrijheden van de natuurlijke personen waarvan u gegevens verwerkt.

Daarom zullen bedrijven die meer gevoelige persoonsgegevens verwerken, zoals medische informatie, meer beveiligingsmaatregelen moeten nemen.

Voorbeeld: Bedrijven moeten een crisismanagementplan opstellen in het geval van een inbreuk op de beveiliging, waarin beschreven wordt welke stappen de organisatie neemt om de veiligheid van klanten en bedrijven te waarborgen.

 

Aansprakelijkheid:

Er moeten maatregelen genomen worden om ervoor te zorgen dat de verwerking van persoonsgegevens gebeurt

in overeenstemming met de GDPR-principes. Procedures (zoals een crisismanagementplan) en documentatie (zoals een overeenkomst over de verwerking van data) moeten worden bijgewerkt om de naleving van deze principes aan te tonen.

 

Voorbeeld:

klanten moeten de mogelijkheid hebben om officiële juridische documenten te bekijken die oplijsten welke gegevens bedrijven over hen opslaan en waarvoor ze deze gebruiken.

Het is belangrijk om te bepalen in welke hoedanigheid uw bedrijf persoonsgegevens bewerkt.

Bent u gegevensbeheerder?

Een gegevensbeheerder, het woord zegt het zelf, is iemand die gegevens beheert. Heeft u een zaak, dan bent u verantwoordelijk voor het correcte beheer van de persoonlijke gegevens van uw klanten én uw personeel volgens de GDPR richtlijnen.

 

Bent u gegevensverwerker?

Krijgt u gegevens toegestuurd van derden en dient u deze voor verschillende doeleinden te gebruiken? Dan staat u in voor het ordelijk beheer van deze gegevens volgens de GDPR richtlijnen.

 

Bedrijven kunnen zowel gegevensbeheerders als -verwerkers zijn:

Elke verwerker is automatisch een beheerder, maar niet elke beheerder is een verwerker. Zo zijn payrollbedrijven of organisaties voor marktonderzoek voorbeelden van gegevensverwerkers. Een payrollbedrijf is de gegevensbeheerder van de gegevens over eigen personeel, maar is de gegevensverwerker voor de data van hun klanten.

Maar wat nu met mijn e-mails & nieuwsbrieven?

De GDPR maakt een onderscheid tussen twee types e-mails:

 

Zonder commercieel doel:

wenskaarten, informatie over de GDPR, …

 

Met commercieel doel of direct marketing:

omvat prijsinformatie, kortingen, speciale aanbiedingen, …

 

Voor e-mails zonder commercieel doel hoeft u enkel een opt-out te voorzien in elke e-mail. Zo biedt u uw lezers de mogelijkheid om zich voor dit type e-mails af te melden.

 

Voor e-mails met een commerciële insteek hebt u toestemming nodig. U mag dergelijke inhoud dus niet zomaar naar al uw contacten verzenden – u hebt hiervoor een vrijwillige inschrijving of opt-in nodig. Ook hier moet u steeds een opt-out voorzien.

4. Er waren ook voordelen?

Meer transparantie over persoonlijke gegevens en waarvoor ze gebruikt worden, verhoogt het vertrouwen van de klanten in uw bedrijf.

 

Door de bindende GDPR-wetgeving zal uw bedrijf in heel Europa aan dezelfde privacyregels voldoen. Dat vereenvoudigt bijvoorbeeld de uitbreiding naar andere Europese landen.

 

Het wettelijke kader van de GDPR stuurt aan op een duurzame strategie om persoonsgegevens te verzamelen en verwerken. Bedrijven worden daarbij aangemoedigd om persoonsgegevens op één locatie te bewerken, zodat ze makkelijker terug te vinden zijn.

 

De essentie van de GDPR is om personen opnieuw controle te geven over hun gegevens. Daarnaast garanderen de juiste strategieën en systemen een betere bescherming van uw bedrijf voor de komende jaren.

 

Kortom, het komt er voor uw bedrijf op neer dat u minder contacten zal hebben in uw mailinglists, maar dat deze veel meer waarde zullen hebben.

 

Checklist

10 acties die u zeker moet nemen om aan de GDPR te voldoen.

1/11

1. Interne audits

Voer interne audits uit om te zien waar uw bedrijf momenteel staat ivm de nieuwe GDPR wetgeving.

2/11

2. Toestemming

Krijg expliciete toestemming om gegevens te verwerken.

3/11

3. Communiceer

Communiceer met klanten over hoe en waarom u hun gegevens verzamelt.

4/11

4. Train

Train uw medewerkers en creëer bewustzijn.

5/11

5. Bewijs

Bewijs dat u aan de GDPR regelgeving voldoet of toch minstens dat u met deze regelgeving rekening houdt.

6/11

6. Bewaartermijn gegevens

Zorg voor een systeem om persoonsgegevens te verwijderen zodra de wettelijke bewaartermijn verstrijkt of wanneer betrokkenen hun toestemming intrekken.

7/11

7. Crisismagagementplan

Ontwerp een duidelijk crisismanagementplan om een datalek te detecteren, te rapporteren en te onderzoeken, deze binnen een bepaald tijdsbestek te melden.

8/11

8. Toegansprocedures

Stel toegangsprocedures op of werk ze bij.

9/11

9. Bescherm gegevens voor jongeren.

Bescherm gegevens van kinderen jonger dan zestien. Zij hebben de toestemming van een ouder of wettelijk voogd nodig.

10/11

10. Functionaris voor gegevensbescherming

Stel een functionaris aan voor gegevensbescherming (data protection officer of DPO) om toezicht te houden op uw strategie.

11/11

Disclaimer: We make graphics kan niet garanderen dat een bedrijf 100% zal voldoen aan de GDPR door deze acties uit te voeren. Deze inhoud wordt omwille van informatiedoeleinden verstrekt en mag deze niet gezien worden als juridisch advies of gebruikt worden om te bepalen hoe de GDPR van toepassing zou kunnen zijn op uw organisatie.

5. Wij kunnen u helpen!

Zo kan het zijn dat wij uw website gemaakt hebben, dat wij instaan voor uw emailmarketing en/of social media marketing en/of wij uw hosting en emailverkeer verzorgen, etc.

 

Het is ook op al deze domeinen dat wij u kunnen bijstaan om GDPR compliant te worden.

 

We make. is uw gegevensverwerker:

Als beheerder van voorgenoemde diensten zijn wij verwerker van uw gegevens en data.

 

We make.-klanten en hun GDPR-verantwoordelijkheid

Als platform kan We make. voor voorgenoemde diensten alle mogelijke acties ondernemen om ervoor te zorgen dat onze klanten voldoen aan de GDPR principes tegen uiterlijk 25 mei.

 

Waar kan We make. u mee helpen?

Uw website

Wij zorgen ervoor dat de privacy statement van uw website in orde is en op de juiste manier wordt weergegeven. Hierin wordt ook aangegeven welke cookies op uw website gebruikt worden en met welk doel. Tevens worden alle formulieren op uw website GDPR conform gemaakt en voorzien van de nodige vermeldingen.

 

Uw webshop

Heeft u een webshop, dan zorgen wij ervoor dat de bestelformulieren GDPR conform gemaakt worden en worden voorzien van de nodige vermeldingen. Wij bereiden een mailing voor naar uw klantenbestand om al uw klanten om een bevestigende OPT-IN (toestemming van de klant) te vragen

 

Nieuwsbrieven & Emails

Stuurt u regelmatig nieuwsbrieven of emails naar uw klanten? Dan moeten al uw bestemmelingen opnieuw bevestigen dat ze op uw lijst willen staan. We make. stelt voor u een mailing op waarin
uw bestemmelingen via een OPT-IN deze vraag kunnen bevestigen en zo uw mailingbestand GDPR conform te maken. Wij kunnen u ook helpen bij het opstellen van een segmenteringsbestand, waarin bestemmelingen kunnen aangeven voor welke doeleinden zij wel of niet wensen aangeschreven te worden.

 

contacteer ons

Meet the family.