GDPR voor kleine bedrijven - verplichtingen toegelicht
General Data Protection Regulation (ofwel Algemene Verordening Gegevensbescherming)
De GDPR is de relatief nieuwe regelgeving die sinds 2018 van toepassing is. Het voornaamste doel van de GDPR-wetgeving is het beschermen van natuurlijke personen tegen de privacyrisico’s die gepaard gaan met gegevensverwerking.
Het concept “gegevensverwerking” wordt door de wetgever zeer ruim ingevuld. Hierdoor is de kans zeer reëel dat ook jouw onderneming aan verwerking van persoonsgegevens doet. Ook voor kleine bedrijven is GDPR relevant, ontdek hieronder waarom.
Geldt GDPR ook voor kleine bedrijven?
Ja, GDPR geldt zowel voor grote bedrijven als voor kleine ondernemingen. Deze privacyregelgeving is van toepassing op iedere organisatie die persoonlijke gegevens verwerkt, ongeacht de grootte of de levensduur van de organisatie in kwestie.
Ook een klein bedrijf valt al snel onder het toepassingsgebied van de GDPR-regelgeving. Een klantenkaart waarbij klanten gegevens moeten invullen, een contactformulier waar klanten hun e-mailadressen kunnen achterlaten of andere manieren waarop verzamelde gegevens van klanten of personeelsleden gebruikt worden - al deze zaken zorgen ervoor dat de GDPR-normen ook voor jouw onderneming gelden.
Belangrijkste 5 verplichtingen onder GDPR
Iedere organisatie die persoonsgegevens verwerkt, moet dus rekening houden met de door GDPR opgelegde regels.
1. Rechtsgrond van de verwerking
Volgens GDPR moet iedere verwerking van persoonsgegevens, hoe onbelangrijk ook, gebaseerd zijn op een rechtsgrond. Deze rechtsgronden zijn limitatief opgesomd in de GDPR-wetgeving:
Toestemming van de betrokkene
De gegevensverwerking is noodzakelijk voor de uitvoering van de overeenkomst
De gegevensverwerking is wettelijk verplicht
Het verwerken van de persoonsgegevens is noodzakelijk om de bescherming van vitale belangen van de betrokkenen te garanderen
De verwerking gebeurt in het algemeen belang
Het is noodzakelijk om de persoonsgegevens te verwerken om een gerechtvaardigd belang te behartigen
De toestemming vragen van de betrokken natuurlijke personen lijkt misschien de meest voor de hand liggende rechtsgrond. Toch kunnen bedrijven vaak de door hen gedane verwerkingen baseren op contractuele verbintenissen of wettelijke verplichtingen.
De keuze van een rechtsgrond is dus niet altijd een even gemakkelijke opgave. Mr. Franklin staat jouw kleine onderneming graag met raad en daad bij in deze en vele andere juridische kwesties rond GDPR-regelgeving. Reeds 250+ bedrijven gingen jou voor.
2. Verantwoordingsplicht
De GDPR legt iedere organisatie die persoonsgegevens verwerkt de verantwoordelijkheid op om aan te tonen dat de gegevensverwerking conform de privacywetgeving verloopt. Deze verantwoordingsplicht houdt onder meer in dat de gegevensverwerkende onderneming bepaalde maatregelen moet nemen, zoals bijvoorbeeld het bijhouden van een verwerkingsregister.
3. Transparantieplicht
Vervolgens vereist GDPR dat de communicatie naar de betrokkenen toe in verband met de verwerking van hun persoonlijke gegevens transparant en begrijpelijk is. Dit wil zeggen dat alle mededelingen in verband met gegevensverwerking in begrijpelijke en eenvoudige taal moeten worden opgesteld.
4. Informatieplicht
De informatieverplichting houdt in dat je als ondernemer de natuurlijke personen wiens persoonsgegevens je verwerkt uitgebreid over deze verwerking moet informeren. Ook over de rechten waaronder de betrokken natuurlijke personen beschikken in verband met de verwerking van hun gegevens (zoals bijvoorbeeld het recht om vergeten te worden) moet je als verwerker duidelijk communiceren.
Dit is een van de belangrijkste principes van de GDPR. In de praktijk is het plaatsen van een privacy statement of privacy verklaring op de website van jouw bedrijf de meest eenvoudige manier om aan deze verplichting te voldoen.
5. Bijzondere gegevens
De zogenaamde ‘bijzondere gegevens’ vormen een aparte categorie van de meest risicovolle persoonsgegevens. Dit zijn bijvoorbeeld medische gegevens, informatie over etnische afkomst, strafrechtelijke gegevens etc.
De wetgever is van mening dat de verwerking hiervan bijzondere risico’s voor de betrokken personen met zich meebrengt. Daarom is het verwerken van gevoelige gegevens in principe verboden.
Echter bevat de GDPR-wetgeving een aantal strikt gedefinieerde uitzonderingen. In deze gevallen is de verwerking van gevoelige gegevens wel toegestaan mits de onderneming aan bijkomende verplichtingen voldoet.
GDPR voor kleine bedrijven: hoe kan een Data Protection Officer jou helpen?
Een Data Protection Officer (DPO) is een onafhankelijk persoon die toeziet op de naleving van de GDPR-vereisten binnen een organisatie. In een aantal specifieke gevallen geldt er een wettelijke verplichting om een DPO aan te stellen: bijvoorbeeld als een onderneming bijzondere gegevens op grote schaal verwerkt. Voor organisaties die van deze verplichting zijn vrijgesteld kan het alsnog voordelig zijn om een Data Protection Officer aan te stellen.
Een DPO aanstellen zorgt in elk geval voor bijzondere voordelen. Onder meer kan dit een verzachtende factor zijn indien de toezichthoudende publieke autoriteiten (in België is dit de Gegevensbeschermingsautoriteit) beslissen om al dan niet een geldboete op te leggen.
Mr. Franklin, GDPR-expert op maat van jouw bedrijf
Mr. Franklin is een advocatenkantoor met een bijzondere expertise in privacywetgeving. Ons team telt drie gecertificeerde Data Protection Officers. Wij voorzien onder meer in DPIA-audits, penetration tests en all-in-one GDPR-formules op maat van jouw organisatie. Onze experts hebben daarnaast ruime ervaring met het opstellen van een privacy policy en cookie policy voor bedrijven.
Contacteer ons
Benieuwd naar onze dienstverlening? Neem gerust vrijblijvend contact met ons op: we bekijken samen wat Mr. Franklin voor jouw bedrijf kan betekenen.
Olivier Sustronck
+32 486 27 53 05