top of page

Privacybeleid van de onderneming - tips van Mr. Franklin

Privacybeleid van de onderneming - tips van Mr. Franklin

De opkomst van privacywetgeving bracht een aantal verplichtingen met zich mee. Zo moeten bedrijven nu een privacybeleid opstellen en ter beschikking stellen aan het publiek. Wat is het nut van zo’n privacyverklaring en hoe begin je er als ondernemer aan? Mr. Franklin geeft een aantal nuttige tips om de nodige maatregelen te treffen, zodat je juridisch in orde bent en blijft.


Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR genoemd) schetst het uniform wettelijk kader voor privacy in de Europese Unie. Het gaat om een Europese wet die de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokken personen hoog in het vaandel draagt.


De AVG-wetgeving geldt voor iedere overheidsinstantie, instelling of onderneming die persoonsgegevens verzamelt of verwerkt. Let op, de Algemene Verordening Gegevensbescherming is niet enkel van toepassing op ondernemingen die binnen de Europese Economische Ruimte gevestigd zijn. Ook organisaties die vanuit derde landen, zoals bijvoorbeeld de VS, persoonsgegevens van Europese burgers verwerken, moeten aan de GDPR-verplichtingen voldoen. 


Wanneer is er sprake van verwerking van persoonsgegevens?

Wat zijn persoonsgegevens?

Met ‘persoonsgegevens’ worden alle persoonlijke gegevens bedoeld waarmee natuurlijke personen kunnen worden geïdentificeerd. Denk bijvoorbeeld aan een naam, e-mailadres, IP-adres of telefoonnummer. Ook een combinatie van deze elementen kan persoonlijke data in de zin van de AVG-wetgeving zijn.


Verwerken, verzamelen, structureren, bijhouden…

Het concept ‘gegevens verwerken’ wordt door de Europese wetgever zeer ruim ingevuld.Onder gegevens verwerken verstaat men namelijk het verzamelen, vastleggen, structureren en wijzigen van de persoonsgegevens bedoeld.


Algemene Verordening Gegevensbescherming geldt dus niet voor elke organisatie, maar tegenwoordig valt een bedrijf al snel onder het toepassingsgebied van deze regelgeving. Indien je bijvoorbeeld klantengegevens of gegevens van personeelsleden bijhoudt of de e-mailadressen van natuurlijke personen gebruikt in een mailing, is er al sprake van een gegevensverwerking.


Mogen bedrijven zomaar persoonsgegevens verwerken?

In de meeste gevallen is de verwerking van persoonlijke data niet verboden. Wel is het in ieder geval onderworpen aan strenge voorwaarden. Zo legt Algemene Verordening Gegevensbescherming een aantal zware wettelijke verplichtingen op aan alle bedrijven die persoonsgegevens verzamelen of verwerken. 


Mr. Franklin licht graag de belangrijkste verplichtingen toe waaraan een gegevensverwerkende onderneming moet voldoen. Laat je het opstellen van een privacybeleid liever over aan experts? Neem dan gerust contact met ons op: we zorgen er graag voor dat jouw bedrijf GDPR-proof kan opereren!


Drie belangrijke GDPR-verplichtingen voor bedrijven

  1. Verantwoordingsplicht

De privacywetgeving legt iedere organisatie die persoonsgegevens verwerkt de verantwoordelijkheid op om aan te tonen dat de gegevensverwerking conform de GDPR-normen verloopt. 


Onder meer houdt deze verantwoordingsplicht in dat de gegevensverwerkende onderneming bepaalde organisatorische maatregelen moet nemen, zoals bijvoorbeeld het bijhouden van een verwerkingsregister. 


In sommige gevallen is een onderneming verplicht om een Data Protection Officer   (DPO) aan te stellen. De wetgeving is op dit vlak echter niet al te concreet uitgeschreven, waardoor het in de praktijk vaak onduidelijk is of een bedrijf onder deze verplichting valt. Kiest het bedrijf bij twijfel om toch geen Data Protection Officer aan te stellen, dan moet de onderneming deze keuze in het privacybeleid toelichten en verantwoorden. 


Opgelet: als gegevensverwerkende onderneming ben je verplicht verantwoording af te leggen over de verwerking van persoonsgegevens indien de toezichthoudende autoriteit (in België is dit de Gegevensbeschermingsautoriteit, oftewel GBA) daar om vraagt. Zorg dus dat je als ondernemer aan de verantwoordingsplicht voldoet.


2. Transparantieplicht

GDPR vereist dat de communicatie naar de betrokkenen toe in verband met de verwerking van hun persoonsgegevens transparant en begrijpelijk is. Onder meer houdt de transparantieverplichting in dat alle mededelingen in verband met gegevensverwerking in duidelijke en eenvoudige taal moeten worden opgesteld.


3. Informatieplicht

Organisaties die onder GDPR vallen hebben bovendien ook een informatieplicht. Dit is een van de belangrijkste principes van de GDPR. De informatieplicht houdt in dat je als ondernemer de natuurlijke personen wiens persoonsgegevens je verwerkt uitgebreid over de verwerking moet informeren.


De beste manier om aan deze wettelijke verplichting te voldoen is door het privacybeleid van jouw onderneming aan de gebruikers of klanten kenbaar te maken. Je bent als gegevensverwerkende ondernemer verplicht om op zijn minst de minimale informatie te verschaffen door te verwijzen naar een link van het uitgebreide privacybeleid op de website.


Privacybeleid: do’s en dont’s

Het privacybeleid is een informatief document dat ter beschikking moet worden gesteld aan alle externe natuurlijke personen wiens persoonlijke data door jouw bedrijf verwerkt worden. Denk bijvoorbeeld aan het cliënteel, leveranciers of de bezoekers van jouw website.


Mr. Franklin heeft veel ervaring in het bijstaan van kleine en middelgrote ondernemingen op vlak van GDPR. Reeds meer dan 250 bedrijven zijn tevreden van onze service! Op basis van onze expertise geven we graag een aantal waardevolle tips mee om jouw bedrijf GDPR-proof te maken. 


Zorg voor transparant en duidelijk taalgebruik

De gebruiker of de klant moet aan de hand van jouw privacy policy kunnen beslissen om al dan niet gebruik te maken van jouw product of dienst, rekening houdend met de manier waarop jouw onderneming zijn of haar gegevens zal verwerken. 


Informatie die je als gegevensverwerkende onderneming aan je klanten of bezoekers verschaft moet bovendien duidelijk en transparant zijn.


Vergeet de verplichte vermeldingen niet

Het privacybeleid bevat op zijn minst de volgende gegevens:


  • Contactgegevens van de gegevensverwerkende organisatie

De toepasselijke wetgeving eist onder meer dat de contactgegevens van de entiteit die de persoonsgegevens verzamelt in het privacybeleid staan. Bovendien moeten ook de contactgegevens van de Data Protection Officer van de onderneming die achter de website zit worden weergegeven.


  • Rechtsgrond van de gegevensverwerking

Volgens de huidige regeling rond gegevensbescherming moet de verwerking van persoonlijke gegevens altijd gebaseerd zijn op één van de door GDPR bepaalde rechtsgronden. 


In de meest voorkomende gevallen zal men de expliciete toestemming van de betrokkene als rechtsgrond gebruiken. Dat is ook waarom je nu op bijna elke website een checkbox ziet verschijnen waarbij je kan aanvinken of de betrokken onderneming jouw gegevens mag gebruiken. 


De uitdrukkelijke toestemming van de betrokkene is echter niet altijd de enige passende rechtsgrond. De AVG voorziet zes rechtsgronden waarop een verwerking van persoonsgegevens gebaseerd dient te zijn, en toestemming is daar maar één van. 


In sommige gevallen zijn er dus nog andere mogelijkheden dan louter toestemming vragen: zo is gerechtvaardigd belang ook een rechtsgrond waarop je je als onderneming kan beroepen. Daarnaast kan je er onder meer voor kiezen om gegevensverwerking te rechtvaardigen door het feit dat je anders je contractuele prestaties naar de betrokkenen toe niet kan uitvoeren. 


Meer weten over de bestaande rechtsgronden? Lees dan zeker eens dit artikel van Mr. Franklin!


  • Doeleinden waarvoor persoonsgegevens verzameld en verwerkt worden

Daarnaast moet de reden waarom jouw onderneming persoonsgegevens verzamelt en verwerkt, ook aan de betrokken natuurlijke personen worden meegedeeld.


  • Bewaartermijn van de verwerkte of verzamelde gegevens

Ook moet de onderneming de bewaartermijn van persoonsgegevens kenbaar maken. De bewaartermijn van persoonsgegevens is de termijn na verloop van dewelke de persoonlijke data gewist worden. 


  • Territoriale omvang van de gegevensverwerking

De betrokken natuurlijke personen moeten verplicht geïnformeerd worden over de eventuele verwerkingen van hun persoonsgegevens die buiten het grondgebied van de Europese Unie zullen gebeuren (bijvoorbeeld door de samenwerking met ondernemingen uit derde landen).


  • Welke passende maatregelen jouw bedrijf neemt om voor de bescherming van persoonsgegevens te zorgen

Het privacybeleid dat je ter beschikking stelt aan de betrokken natuurlijke personen moet ook vermelden op welke manier(en) jouw onderneming de verzamelde persoonsgegevens beschermt. 

Onder GDPR geldt de verplichting voor de gegevensverwerkende onderneming om de integriteit van de verzamelde gegevens te waarborgen. De organisatorische maatregelen die je als ondernemer neemt om datalekken te voorkomen moeten in het privacybeleid worden toegelicht.


  • Of er eventueel sprake is van de geautomatiseerde verwerking

Wanneer jouw bedrijf gebruikmaakt van geautomatiseerde besluitvorming, dan vermeld je dat best ook in het privacybeleid. Van geautomatiseerde besluitvorming is er sprake als er over de gegevens van een natuurlijke persoon een beslissing wordt genomen door middel van het gebruik van technologische middelen. 


  • Wat de rechten zijn van de betrokken personen en op welke manier kunnen de betrokkenen deze rechten uitoefenen

Last but not least: ook de rechten die de betrokkenen uit GDPR kunnen putten som je best even op in het privacybeleid. De toepasselijke wet kent een aantal rechten toe aan de natuurlijke personen wiens gegevens verwerkt worden. 


Onder meer beschikken de betrokkenen over het recht op inzage van de verzamelde persoonsgegevens en het recht om vergeten te worden. Het is aan jou als gegevensverwerkende onderneming om de betrokken personen over hun privacyrechten in te lichten. 


Onderschat het belang van een correct privacybeleid niet

Zoals je ongetwijfeld zelf al hebt kunnen merken, is de wetgeving rond privacy en gegevensverwerking zeer gedetailleerd. De juridische en technische details zorgen ervoor dat het opstellen van het privacybeleid toch een lastige en vooral een tijdrovende zaak is. 

Bovendien is de kans redelijk groot dat je als ondernemer zonder juridische achtergrond een niet onbelangrijk detail mist .


Daarom zou het opmaken van een GDPR-conform privacybeleid voor jouw bedrijf een prioriteit moeten zijn en blijven. De boete die je riskeert indien je online platform niet in overeenstemming met de nieuwe privacyregels functioneert, kan tot 4% van de omzet oplopen.


Mr. Franklin, jouw privacyexpert

Mr. Franklin is een advocatenkantoor met een bijzondere expertise in het aanbieden van allerhande GDPR-diensten. Wij staan in voor een innovatieve, maar telkens kwalitatieve service en hechten veel belang aan continue verbetering van onze expertise. 


Dankzij de vele ervaring en kennis is Mr. Franklin uitgekozen om een opleidingstraject rond cybersecurity en GDPR te realiseren ingevolge de oproep 539 Cybersecurity (ESF). 


Ons team zorgt voor de opmaak van privacy- en cookiebeleid, GDPR-audit, DPIA, DPO as-a-service en alle andere GDPR-gerelateerde procedures. Onder andere bieden we een all-in-one formules aan om jouw onderneming GDPR-proof te maken.

 

Daarbij hanteren we steeds een pragmatische en duidelijke aanpak. De transparantie over de kosten (en over het dossier uiteraard) is onze prioriteit: daarom werken we waar mogelijk met vaste tarieven. 


GDPR-proof ondernemen? Contacteer ons!

Neem vrijblijvend contact op met onze experts voor meer informatie omtrent onze dienstverlening. 


 Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be

bottom of page