Op 25 mei 2018 wordt de GDPR of de General Data Protection Regulation van kracht. De Europese privacyregels verstrengen, wat uiteraard gevolgen heeft voor u als werkgever. Want net zoals bijna elk bedrijf gaat u vandaag onvermijdelijk aan de slag met de persoonsgegevens van uw werknemers of kandidaten (denk maar aan bankrekeningnummers, cv’s, inkomens, …) en verzamelt u informatie over klanten. Aangezien een schending van de nieuwe regels tot ernstige sancties leidt, geven we graag wat meer informatie over de GDPR en de mogelijke veranderingen voor uw organisatie.

De context: digitalisatie en data-analyse

De General Data Protection Regulation komt er uiteraard niet zomaar. In de huidige digitale economie weten bedrijven meer over hun werknemers en klanten dan ooit tevoren. Ze passen op grote schaal data-analyse toe en vergaren zo nuttige informatie die ze vervolgens inzetten om de customer experience te verbeteren, en om heel gericht en efficiënt aan targetting of product placement te doen. De meeste mensen zijn zich er wel van bewust dat bedrijven die ze kennen hun gegevens gebruiken, maar ze beseffen vaak niet dat bedrijven die ze niet kennen, dat even lustig (kunnen) doen.

Uit een recente studie blijkt bovendien dat 55% van de consumenten afziet van onlineaankopen louter uit angst voor inbreuken op hun digitale privacy, en dat minder dan 20% graag informatie weggeeft over hun zoekgeschiedenis, locatie of adres. Vooral die eerste vaststelling is opvallend, omdat ze duidelijk aantoont dat de bezorgdheid om privacy en gegevensgebruik primeert op gebruiksgemak, tijdswinst en andere toch behoorlijk grote voordelen.

Het GDPR wil in deze context EU-inwoners vertrouwen geven, en juridische zekerheid en databescherming voor hen creëren.

De gevolgen van GDPR voor bedrijven

Voor bedrijven is het gevolg van de GDPR tweeledig:

  • Enerzijds worden ze gedwongen om meer rekening houden met de gevoeligheden van klanten en werknemers. Zij zijn namelijk terecht bezorgd om hun privacy en willen weten wat er allemaal met hun gegevens gedaan wordt. Het is dus zaak om hen vertrouwen te geven door een transparant privacybeleid op poten te zetten en consequent informatie over databescherming te verstrekken.
     
  • Anderzijds schuift de grens van wat juridisch gezien onder ‘persoonlijke data’ valt op met de komst van de GDPR. Organisaties moeten dan ook oppassen voor overtredingen en hun huidige manier van dataverwerking zorgvuldig onder de loep nemen. Dit klinkt misschien nog relatief eenvoudig, maar dat is het in realiteit meestal niet. De gevolgen zijn namelijk verregaander dan op het eerste gezicht lijkt. Denk maar aan de inhoud van contracten (delen met dienstverleners of niet), informatieverplichting, de gevolgen voor uw aanwervingsbeleid, camerabewaking op het werk, monitoring (van onder meer sociale media), toegangs- en uitgangscontroles, enzovoort.

Wat u kunt doen als werkgever

Het mag intussen duidelijk zijn: de nakende komst van de GDPR is het uitgelezen moment om uw huidige data- en securitybeleid te (her)bekijken en uw privacybeleid te versterken. Verder is het cruciaal om nu al maatregelen te treffen tegen cyberaanvallen, want op tijd reageren is een must: de GDPR schrijft bijvoorbeeld voor dat zulke aanvallen ten laatste 72 uur na het ontdekken moeten gerapporteerd worden. Als u pas met een externe partij aan de onderhandelingstafel gaat zitten nadat u bent getroffen door een security-inbreuk of datalek, bent u onherroepelijk te laat.

Bekijk al onze kantoren