Algemene Verordening Gegevensbescherming (AVG)

Door de komst van Algemene Verordening Gegevensbescherming en de GDPR-wetgeving hebben particulieren meer controle over de verwerking van hun persoonsgegevens. Echter brengt dit ook veel kopzorgen met zich mee voor ondernemingen. Mr. Franklin helpt jouw firma de nodige maatregelen te treffen, zodat je juridisch in orde bent en blijft.

Algemene Verordening Gegevensbescherming / General Data Protection Regulation

De Algemene Verordening Gegevensbescherming (AVG, in het Engels General Data Protection Regulation of GDPR genoemd) is in werking getreden op 25 mei 2018. In hetzelfde jaar is ook de Belgische Uitvoeringswet Algemene Verordening Gegevensbescherming verschenen. De Algemene Verordening Gegevensbescherming is rechtstreeks van toepassing als wet in de lidstaten van de Europese Unie. De nationale wetgeving kan een aanvulling geven op de punten waar AVG aangaf dat dit mogelijk was.

De in de Algemene Verordening Gegevensbescherming vervatte normen hebben betrekking op de verzameling van persoonsgegevens en de manier waarop deze verzamelde gegevens worden verwerkt. De Algemene Verordening geldt zowel voor de digitale verwerking van persoonsgegevens als voor het fysiek verzamelen en verwerken van gegevens (bijvoorbeeld op papier).

Op wie is Algemene Verordening Gegevensbescherming van toepassing?

De Algemene Verordening Gegevensbescherming geldt voor alle ondernemingen, verenigingen en overheidsinstanties die persoonsgegevens van levende natuurlijke personen verwerken. Voor deze organisaties bestaat er een wettelijke verplichting om de privacy-normen gesteld door de Algemene Verordening na te leven.

Wat houden de AVG-normen in?

In de Algemene Verordening Gegevensbescherming zijn twee kernbegrippen vervat: enerzijds het begrip persoonsgegevens en anderzijds de verwerking ervan.

Persoonsgegevens

Met persoonsgegevens verwijst men naar de gegevens over levende natuurlijke persoon waarmee deze natuurlijke persoon direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een IP-adres of een telefoonnummer, geboortedatum etc. Ook combinaties van indirecte factoren zijn persoonsgegevens indien deze combinatie kan leiden tot identificatie van natuurlijke personen.

Er bestaan ook bijzondere categorieën persoonsgegevens. Voor zulke categorieën heeft de Algemene Verordening Gegevensbescherming extra regels voorzien. Zo zijn er bijvoorbeeld bijzondere persoonsgegevens die informatie bevatten over “gevoelige” kwesties zoals bijvoorbeeld etnische afkomst of strafrechtelijke veroordelingen. Ondernemingen of overheidsinstanties die bijzondere persoonsgegevens verwerken zijn onderworpen aan bijkomende strenge beveiligingsvereisten. Dit komt doordat de verwerking van bijzondere persoonsgegevens ernstige risico’s voor de privacy van de betrokkene met zich mee brengt.

Verwerking

Het concept “verwerking” krijgt een ruime invulling van de wetgever. Persoonsgegevens bijhouden, persoonsgegevens verzamelen, vastleggen, structureren en wijzigen - dit valt allemaal onder de term verwerking. Voor meer gedetailleerde toelichting van het begrip “verwerking” kan je de officiële website van de Europese Commissie raadplegen.

Door deze ruime opvatting is de kans zeer reëel dat jouw onderneming persoonsgegevens verwerkt. Is dit het geval, dan moet er aan elke wettelijke verplichting uit de Algemene Verordening Gegevensbescherming worden voldaan.

De verwerking van persoonsgegevens moet telkens berusten op een bepaalde rechtsgrond. Ook geldt er een transparantieverplichting.

Transparantieverplichting

De Algemene Verordening Gegevensbescherming legt een transparantieverplichting op aan elke onderneming of overheidsinstantie die persoonsgegevens verwerkt. Dit wil zeggen dat de verwerkende overheidsinstantie of het bedrijf de natuurlijke personen wiens gegevens verwerkt worden op een transparante en begrijpelijke manier over de verwerking moet informeren. De boodschap moet bovendien in duidelijke en eenvoudige taal overgebracht worden.

De kennisgeving van de verwerking aan de betrokken natuurlijke persoon dient schriftelijk te gebeuren.

De implementering van deze transparantieverplichting is niet altijd even voor de hand liggend. Indien je binnen jouw onderneming de verwerking van persoonsgegevens vaststelt, is het daarom aangeraden om een AVG-specialist te consulteren. Zo ben je zeker dat jouw firma aan alle privacy-normen voldoet en kan je verder op beide oren slapen.

Wat kan de toezichthoudende autoriteit persoonsgegevens doen?

De toezichthoudende autoriteit heeft een aantal mechanismen ter beschikking om een onderneming die niet AVG-conform persoonsgegevens verwerkt te sanctioneren. Zo kan de autoriteit persoonsgegevens een flinke boete opleggen: tot 4% van het jaarlijkse omzet van jouw onderneming.

Mr. Franklin: AVG-consultancy op maat

Mr. Franklin is een advocatenkantoor met een bijzondere expertise in AVG-normen. Onze gespecialiseerde privacy- en gegevensbescherming-experts kunnen u adviseren bij allerlei vragen omtrent de GDPR/AVG. Je kan bij ons terecht voor bijstand in procedures voor de autoriteit persoonsgegevens, zoals bijvoorbeeld een aangifte van een datalek of een procedure voor de Geschillenkamer of voor de rechtbank.

Als Mr. Franklin zijn wij onder andere gespecialiseerd in GDPR- en DPIA-audits, zowel op vlak van privacy als van cybersecurity. Daarbij zorgen we voor concrete aanbevelingen en wordt er een commercieel document opgemaakt dat kan voorgelegd worden aan klanten. Meer info over onze diensten in verband met DPIA vind je in deze blogpost van Mr. Franklin.

Ook biedt Mr. Franklin all-in-one formules aan om jouw onderneming GDPR-proof te maken. De aanpak is steeds in overleg en dus persoonlijk, met veel aandacht voor de voorkeuren en noden van jouw onderneming.

Bovendien telt ons kantoor drie gecertificeerde Data Protection Officers. Alle drie hebben ze ruime ervaring bij allerlei soorten bedrijven en overheden als externe DPO’s. Meer weten over onze kwalitatieve DPO as-a-service formule? Lees dan zeker hier verder.