GDPR

AFLEVERING 1: De uitdagingen en omvang van het GDPR-parcours

06 apr 2018

Wie is bij GDPR betrokken? Iedereen!

Boem: op 27 april 2016 kondigt de EU haar nieuwe ‘General Data Protection Regulation’-initiatief aan. GDPR moet in voege treden op 25 mei 2018. Die nieuwe regels bleken een stevige impact te hebben op het businessmodel van Bisnode. Elke onderneming of organisatie die persoonlijke gegevens van EU-burgers bijhouden of verwerken, is betrokken partij. GDPR heeft consequenties voor elke systeem of persoon die direct of indirect in contact komt met persoonlijke gegevens van consumenten, b-to-b relaties en medewerkers.

Bouwen op stevige fundamenten

Bisnode is het gewoon extreem zorgzaam om te springen met data. Wij respecteren de privacy totaal. Dit zit in ons DNA ingebakken. Het is immers van cruciaal belang voor onze business om het volle vertrouwen van consumenten en klanten te blijven verdienen.

Privacy was altijd al onze topprioriteit. Al van in 1992, toen de eerste privacywetgeving werd gelanceerd, stonden we in de voorlinie. Samen met grote internationale klanten bouwden wij praktijkervaring op voor databeveiliging. Hiervoor ontwikkelden we heldere processen en strikte procedures.

Onze Bisnode Groep gaf ons de internationale slagkracht om dit waar te maken. Zowel lokaal als op groepsniveau beschikken we over juridische teams. Ook werken we samen met onze bedrijfsfederaties en maken we deel uit van commissies om ruim op tijd te anticiperen op nieuwe privacywetgeving.

De eerste uitdagingen die we aanpakten

GDPR beïnvloedde onze volledige business. De regels hadden een impact op mensen en processen in onze eigen organisatie, en op de samenwerking met onze klanten, partners en leveranciers. We dienden heel wat nieuwe GDPR-vereisten te integreren: gegevensopslag, dataminimalisering, dataverwerkingsakkoorden, Privacy Impact Assessment (PIA)...

Voor een vlotte overgang wil Bisnode zijn klanten grondig begeleiden: van het beantwoorden van vragen tot het installeren van nieuwe procedures. IT-processen moeten voldoen aan nieuwe eisen: encryptie, regels voor datatransfer en -opslag, toegangsbeheer, traceerbaarheid van gegevens, enz. Nieuwe taken zoals de aanpak van incidenten en het beheer van de rechten van datasubjecten moeten worden ingevuld.

Om ons hier grondig op voor te bereiden, zette Bisnode op groepsniveau een internationaal programma op, met aparte werkgroepen in elk land.

Cruciale kwesties om de GDPR-berg te overwinnen.

GDPR perkt ook het gebruik van bepaalde gegevens in. Dit had een invloed op het data-aanbod van Bisnode. Sommige gegevens en variabelen – bijvoorbeeld data over minderjarigen – mogen niet meer worden aangeboden.

Een van de wettelijke gronden voor gegevensverwerking die GDPR toestaat, is: ‘Wanneer het verwerken van data noodzakelijk is voor het behartigen van de legitieme belangen van de datacontroleur of een derde partij.’ Dit bleek bijzonder ingewikkeld omdat die ‘legitieme belangen’ moeten worden afgewogen tegenover de belangen, rechten en vrijheden van het individu.

Omdat deze wettelijke materie zo uitgebreid was, dienden we samen te werken met externe juristen.

Wellicht was de grootste uitdaging een emotionele. Door de nieuwe regels en de dreiging van hoge boetes maken marketeers zich zorgen over de risico’s die hun campagnes kunnen meebrengen. Daarom beschouwt Bisnode het als een topprioriteit om klaarheid te scheppen en te zorgen voor grondige begeleiding en ondersteuning om klanten GDPR-conform te helpen maken.

In de volgende afleveringen van onze GDPR-casestory bespreken we onderwerpen als:

Hoe beheert Bisnode data op een GDPR-conforme manier?

Dat is het onderwerp van aflevering 2.