1. € 20m GDPR-boetes zijn mogelijk - maar onwaarschijnlijk
Een van de belangrijkste veranderingen is dat bedrijven onder GDPR een boete kunnen krijgen tot € 20 miljoen ($ 28 miljoen) of vier procent van de wereldwijde omzet van de groep, afhankelijk van welke van beide groter is. Er is veel angst en paniek rond dit element - ik kwam onlangs een waarschuwing tegen dat de dreiging van insolventie of zelfs sluiting als gevolg van GDPR-sancties binnenkort heel reëel zal zijn voor alle bedrijven. De kans dat een bedrijf in deze mate een boete krijgt opgelegd, is echter minuscuul, zelfs wanneer er sprake is van een ernstige inbreuk, zoals de Britse Information Commissioner zelf heeft aangegeven.
2. U bespaart uw 500 € per jaar toch geen meldingskosten
Er was een vlaag van opwinding toen de GDPR werd onthuld, dat het bedrijven een beetje geld kon besparen. Momenteel moeten datacontrollers bij Britse bedrijven de ICO op de hoogte stellen van hun gegevensverwerkingsactiviteiten en een vergoeding van 500 € betalen, die het grootste deel van het werk van de ICO financiert. GDPR schaft het huidige systeem af waarvoor gegevenscontroleurs verplicht zijn de toezichthoudende autoriteit op de hoogte te stellen van hun verwerking van persoonsgegevens - en daarmee verdwijnt de Britse vergoeding.
3. Niet elke organisatie heeft een functionaris voor gegevensbescherming nodig
De rol van functionaris voor gegevensbescherming (DPO) wordt onder de GDPR "verplicht". Niet elke organisatie hoeft zich echter niet te haasten om er een te benoemen. DPO's zijn alleen een vereiste bij overheidsinstanties en bedrijven waar gegevensverwerking en -bewaking op grote schaal plaatsvinden.
4. IT- en marketingmensen zijn geen geschikte DPO's
De GDPR stelt dat de DPO niet in conflict mag zijn door een dubbele rol te spelen bij het beheren van gegevensbescherming, terwijl ook moet worden gedefinieerd hoe gegevens worden beheerd. In de praktijk betekent dit dat een IT-manager, IT-directeur, CTO of beveiligingsmanager niet de beste keuzes zijn voor uw DPO. De marketingmanager kan ook een belangenconflict hebben, terwijl verstandige opties uw hoofd kunnen zijn van financiën, risico's of juridische zaken. Uw DPO hoeft niet iemand binnen de organisatie te zijn, en het kan dus eenvoudiger zijn om een advocaat of externe deskundige aan te stellen.
5. Goede doelen vallen onder dezelfde regels
Het vermogen om persoonlijke gegevens te verzamelen en contact op te nemen met individuen is de levensader van de liefdadigheidssector en zijn vermogen om fondsen te werven. Onder GDPR moeten liefdadigheidsinstellingen zich aan dezelfde regels houden als elke andere organisatie en duidelijk uitleggen waarom zij persoonlijke gegevens verzamelen, hoe deze worden gebruikt en of deze beschikbaar worden gesteld aan derden.
6. Toestemming is niet altijd noodzakelijk
Hoewel toestemming in veel gevallen vereist is om persoonlijke informatie te verwerken, kan deze worden omzeild als er een "wettelijke basis" is voor de verwerkingsactiviteit. Deze informatie moet worden vermeld en opgenomen in uw privacyverklaring. Lokale autoriteiten verwerken belastinginformatie over de weg, banken die gegevens delen voor fraudebeschermingsdoelen, verzekeringsmaatschappijen die claimsinformatie verwerken - voor elk van deze is er een andere wettelijke basis voor het verwerken van persoonlijke informatie die geen toestemming is.
Toestemming is ook niet vereist voor alle vormen van direct marketing: brieven kunnen worden verzonden en telefoontjes kunnen worden gedaan naar nummers die niet bij de telefonische preferentiedienst zijn geregistreerd, op voorwaarde dat ze onder de voorwaarde van een "legitiem belang" vallen. Mensen moeten echter nog steeds de mogelijkheid krijgen om zich af te melden voor dit type contactpersoon. En een legitiem belang - bijvoorbeeld een liefdadigheidsinstelling die tot doel heeft de zaak te bevorderen - mag de rechten van het individu niet schenden.
7. Vooraf aangevinkte opt-in-boxen knippen het niet
GDPR verduidelijkt dat vooraf aangevinkte opt-in-vakjes geen indicaties zijn van geldige toestemming, dus deze zullen moeten worden bezworen door uw bedrijf. U moet het ook gemakkelijk maken voor mensen om hun toestemming in te trekken en duidelijke en duidelijke taal te gebruiken bij het uitleggen van de toestemming. Als u denkt dat uw organisatie mogelijk in strijd is met een van deze elementen, moeten de gegevens die u momenteel in het bestand hebt, worden vernieuwd: dat wil zeggen dat u contact opneemt met uw huidige database om hen opnieuw aan te melden - als u na 25 mei contact met hen wilt houden.
8. Kinderen zijn een speciaal geval
Bedrijven hebben toestemming van hun ouders nodig om de gegevens van kinderen te verwerken. Een kind wordt geclassificeerd als iemand onder de 16, maar lidstaten kunnen dit verlagen naar 13.
9. Kleinere bedrijven hebben minder te doen
Kleinere bedrijven - bedrijven die worden gedefinieerd als 250 werknemers of minder hebben - hoeven niet standaard aan alle GDPR-regels te voldoen. Als uw organisatie bij deze groep hoort, is het niet nodig om documentatie te hebben over waarom persoonlijke gegevens worden verzameld en verwerkt, welke informatie u opslaat of hoelang. Kleinere bedrijven hoeven geen verwerkingsactiviteiten bij te houden tenzij dit een risico voor de rechten en vrijheden van betrokkenen met zich meebrengt, het regelmatig voorkomt of het betrekking heeft op bepaalde gegevens zoals strafrechtelijke veroordelingen en strafbare feiten.
10. Je hebt 72 uur om een overtreding te melden - waar mogelijk
Schendingen van persoonsgegevens moeten binnen 72 uur worden gemeld aan het relevante agentschap voor gegevensbescherming - het bureau van de Information Commissioner voor Britse organisaties. Individuen moeten ook op de hoogte worden gesteld als er een hoog risico bestaat dat hun gegevens worden geschonden. Als de schending echter "waarschijnlijk niet leidt tot een risico voor de rechten en vrijheden" van mensen, is het rapportage-element niet vereist. En bedrijven hebben hier ook een kleine uitgangsclausule met de invoeging van de "waar haalbare" zin die is gekoppeld aan de limiet van 72 uur.
11. Privacy moet door het ontwerp in IT-systemen zijn
Organisaties dienen hun IT-systemen en -procedures te controleren om na te gaan of ze voldoen aan de GDPR-vereisten voor privacy by Web design Gent, zodat alleen de minimaal vereiste hoeveelheid persoonsgegevens wordt verwerkt. Privacyeffectbeoordelingen (PIA's) moeten worden voltooid wanneer nieuwe technologieën worden gebruikt en de gegevensverwerking zal waarschijnlijk resulteren in een hoog risico voor personen.
12. De klant is koning
Individuen krijgen uitgebreide bevoegdheden over de gegevens die u over hen bewaart onder de nieuwe regels. Ze hebben automatisch het recht om te worden vergeten, dus uw bedrijf moet beschikken over processen om alle records van een persoon permanent van hun systemen te verwijderen. Individuen kunnen ook een kopie van hun gegevens aanvragen, dus u moet een manier ontwikkelen om deze gegevens te verzamelen en te exporteren naar gebruikers in een duidelijke, eenvoudige indeling. Er zal niet altijd een hoop verzoeken zijn, maar je moet voorbereid zijn.
13. U kunt geen gegevens buiten de EU delen
De GDPR beperkt de overdracht van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) die door de EU worden geacht geen passend beschermingsniveau te bieden, zoals de VS. Zorg ervoor dat internationale gegevensuitwisseling valt onder overeengekomen regels, zoals het EU-VS privacyschild.