GDPR: Hoe persoonlijke gegevens in B2B behandelen?

Wat is de GDPR?

De General Data Protection Regulation, of GDPR, is een op Europees niveau opgelegde verordening die vanaf 25 mei 2018 geldt voor alle bedrijven die actief zijn in de EU. Doel: regelen hoe bedrijven, al dan niet fysiek gevestigd in de EU, klantgegevens gebruiken. Dit is een belangrijke strategische uitdaging voor bedrijven omdat grote financiële sancties van toepassing zijn in geval van niet-naleving (tot 4% van de wereldwijde omzet van een bedrijf).

Deze nieuwe verordening versterkt professionele verplichtingen op het gebied van de verwerking van persoonsgegevens. Anders dan de benadering die in eerste instantie door het Franse agentschap voor gegevensbescherming (CNIL) in Frankrijk werd gevolgd, legt de AVG geen voorafgaande kennisgeving voor. Bedrijven moeten ten allen tijde kunnen aantonen dat zij voldoen aan de voorschriften voor gegevensbescherming, met name door een register van verwerkingsactiviteiten bij te houden.

Volgens de GDPR betekenen persoonlijke gegevens alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon: identiteit, een e-mailadres voor contact, contactgegevens, IP-adres, enz. Alle bedrijven met klantendatabases zijn dus getroffen en moeten vanaf nu in een overgangsfase.

Privacy by design / by default: houdt rekening met de bescherming van persoonlijke gegevens vanaf het begin

De begrippen “Privacy by design” en “Privacy by default” onthullen de noodzaak om de bescherming van de persoonlijke gegevens vanaf het begin van het ontwerp van het project te overwegen. Dit mechanisme betekent ook dat alleen de gegevens die nodig zijn voor het bedrijf om haar doelstellingen te bereiken, die duidelijk moeten worden overgebracht, moeten worden verzameld en verwerkt.

Om te voldoen aan de GDPR zal de manier waarop de nieuwe informatiesystemen worden bedacht, moeten veranderen en moeten bepaalde informatiesystemen volledig opnieuw worden ontworpen. “Privacy by design” is vooral van invloed op softwareontwikkelaars en bedrijven die gegevens gestuurde tools, zoals een CRM, willen implementeren.

Aanwijzen van een DPO en melden van inbreuken op persoonsgegevens

Om de toepassing van maatregelen in het bedrijf te vergemakkelijken, heeft de AVG de functie van functionaris voor gegevensbescherming (DPO) gecreëerd. Het aanwijzen van een DPO is verplicht in:

• openbare autoriteiten of instanties;
• bedrijven waarvan de kernactiviteiten regelmatige en systematische monitoring van klantgegevens op grote schaal vereisen;
• bedrijven die gevoelige gegevens verwerken.

Bedrijven die aanvankelijk niet aan deze verplichting zijn gebonden, moeten ook een DPO aanwijzen om aan te tonen dat zij de omvang van de uitdagingen omtrent gegevensbescherming hebben begrepen.

Aangewezen op basis van hun expertise op het gebied van recht en bescherming van persoonlijke gegevens, fungeren DPO’s als dirigent om de gegevensbescherming in het bedrijf te regelen. Hun taken omvatten:

• informeren en adviseren van de verantwoordelijke / verwerker en de werknemers die hun verplichtingen in hoofde van deze verordening verwerken of uitbesteden;
• advies geven over de effectenbeoordeling van gegevensbescherming;
• fungeren als contactpunt voor de toezichthoudende autoriteit die belast is met de inspectie van bedrijven.

Naast het aanwijzen van een DPO, legt de AVG ook de verplichting vast om meldingen van datalekken te melden. Deze verplichting rust op de verwerkingsverantwoordelijke / verwerker die belast is met het melden van inbreuken aan de gegevensbeschermingsautoriteit.

Analyse van de impact op privacy rechten

Voor alle nieuwe projecten met betrekking tot de verwerking van persoonsgegevens, moeten opdrachtgever en de verantwoordelijke voor de verwerking eerst bepalen of het project van invloed is op de privacy rechten van de betrokken personen. Als het antwoord ja is, moeten ze aantonen dat het project voldoet aan het begrip “Privacy by design”. Het is belangrijk om te benadrukken dat de onderaannemer niet langer verantwoordelijk is voor het uitvoeren van dit eerdere werk, dat nu onder de verantwoordelijkheid van de opdrachtgever valt.

Recht op persoonlijke gegevensoverdracht

De GDPR biedt ook het recht voor personen om de informatie over hen die bedrijven hebben verwerkt, terug te geven. Deze gegevens kunnen vervolgens indien nodig worden overgedragen aan een derde partij.

Om bedrijven in staat te stellen te reageren op verzoeken om gegevens, moeten ze een systeem implementeren voor toegang tot alle gegevens die over een persoon zijn verzameld. Deze bedrijven, die apotheken, banken of verzekeringsmaatschappijen kunnen zijn, zijn nu verplicht om alle gegevens in niet-gecodeerde vorm aan de persoon in kwestie of aan een andere controller te versterken.

Verplichting om de klant te informeren over de doeleinden van gegevensverzameling

Deze maatregel, vastgesteld voor de publicatie van de AVG, is met deze verordening expliciet gemaakt. Om persoonlijke gegevens te verzamelen, moet de klant op de hoogte zijn en zijn of haar specifieke geïnformeerde toestemming geven. Deze toestemming komt overeen met een bepaald doel en kan niet worden toegeschreven aan een reeks toepassingen, ongeacht hoe vergelijkbaar ze ook zijn.

Om bedrijfsoperaties te beveiligen, moeten de gegevensverzameling en -verwerking worden gestandaardiseerd, wat een grote investering voor marketingafdelingen betekent.

Met de General Personal Data Regulation krijgen klanten weer de verantwoordelijkheid over hun gegevens en het gebruik dat derden ervan maken. Om aan deze beperkingen te voldoen, zullen B2B- en B2C-bedrijven hun processen moeten heroverwegen om ervoor te zorgen dat ze zich houden aan de verplichtingen inzake gegevensvergunning en toegang.