top of page

GDPR en start-ups - wat zijn de spelregels

GDPR en start-ups - wat zijn de spelregels

Met de komst van de privacywetgeving zijn er ook GDPR-verplichtingen voor ondernemingen ontstaan. Daarbij is het niet van belang of het om een groot bedrijf of een start-up gaat: de regelgeving rond data protection geldt voor iedere organisatie die persoonsgegevens verwerkt. 


Ook start-ups die aan data processing doen moeten dus GDPR-compliant zijn. Wij lichten de belangrijkste keypoints even toe, zodat je als bedrijfsleider van een start-up helemaal up-to-date bent.


GDPR & start-ups: verwerkt jouw bedrijf personal data?

Ook indien je nog maar net jouw bedrijf hebt opgestart, kan er al sprake zijn van gegevensverwerking. In dit geval moet de onderneming zich houden aan de GDPR, oftewel General Data Protection Regulation. GDPR is van toepassing op alle bedrijven die persoonsgegevens verwerken of verzamelen (de zogenaamde data processors), ongeacht de grootte of levensduur van het bedrijf.


Wat zijn persoonsgegevens?

Met persoonsgegevens bedoelt de wetgever de gegevens over een levende, natuurlijke persoon waarmee deze natuurlijke persoon direct of indirect kan worden geïdentificeerd. De termen verzamelen en verwerken krijgen ook een zeer ruime invulling. Zo doet men aan gegevensverwerking wanneer persoonsgegevens bijgehouden, verzameld, vastgelegd, gestructureerd of gewijzigd worden.


Tegenwoordig valt een bedrijf al snel onder het toepassingsgebied van deze regelgeving. Indien je bijvoorbeeld klantengegevens of gegevens van personeelsleden bijhoudt of de e-mailadressen van natuurlijke personen gebruikt in een mailing, dan is er al sprake van een gegevensverwerking. Het gevolg? Ook jouw bedrijf moet zich bij data processing aan de GDPR-regels houden.


Wat zijn de 4 belangrijkste regels?

Om van GDPR-compliance te kunnen spreken, moet de onderneming een aantal verplichtingen naleven. 


  1. Rechtsgrond voor data processing

De allerbelangrijkste regel is dat de verwerking van persoonsgegevens gebaseerd moet zijn op een rechtsgrond. Deze voorwaarde geldt voor elke handeling die onder de term gegevensverwerking valt, ongeacht de hoeveelheid persoonsgegevens die verwerkt worden of het aantal betrokken personen. 

De rechtsgronden waarop de verwerking van persoonlijke data gebaseerd mag zijn, vind je in de GDPR-wetgeving:


  • (Expliciete) toestemming van de betrokkene

  • De gegevensverwerking is noodzakelijk voor de uitvoering van de overeenkomst

  • De gegevensverwerking is wettelijk verplicht

  • Het verwerken van de persoonsgegevens is noodzakelijk om de bescherming van vitale belangen van de betrokkenen te garanderen 

  • De verwerking gebeurt in het algemeen belang (the public interest)

  • Het is noodzakelijk om de persoonsgegevens te verwerken om een gerechtvaardigd belang te behartigen


Let op: deze opsomming is limitatief. Dit betekent dat een bedrijf niet zomaar zelf een rechtsgrond mag bedenken om een verwerking te verantwoorden.

Hoewel het vrij eenvoudig klinkt, is de keuze van een rechtsgrond niet altijd even voor de hand liggend. Mr. Franklin staat jouw start-up graag met raad en daad bij in deze en vele andere juridische kwesties rond GDPR-regelgeving. Neem vrijblijvend contact met ons op.


  1. Transparantieverplichting

Een andere belangrijke regel is de transparantieverplichting. De transparantieverplichting houdt in dat een bedrijf dat persoonsgegevens verwerkt, verplicht is om betrokken natuurlijke personen op een transparante en begrijpelijke manier op de hoogte te brengen van de verwerking. Bovendien moet deze mededeling schriftelijk gebeuren en aantoonbaar zijn. 

De meest voor de hand liggende oplossing is een privacy policy die je op de website van jouw onderneming kan meedelen. Zo beschikt de start-up meteen over een schriftelijk bewijs indien er later eventuele juridische betwistingen zouden ontstaan.


  1. Register opstellen

Een andere verplichting die GDPR oplegt, is het bijhouden van een register van de verwerkingsactiviteiten die met betrekking tot de verzamelde gegevens plaatsvinden. Het gaat hier om interne documentatie die bedrijven zelf bijhouden en waarin informatie wordt bijgehouden over de persoonsgegevens die worden verwerkt. Het register moet leesbaar en begrijpelijk zijn voor de gegevensbeschermingsautoriteit (GBA): op de website vind je ook een modelformulier. 


Een belangrijk detail: bedrijven kunnen door de GBA gevraagd worden verantwoordingsplicht af te leggen met betrekking tot dit register. 


  1. Verwerking van bijzondere persoonsgegevens

Bovendien bestaat er ook een aparte categorie van de meest risicovolle persoonsgegevens -  de zogenaamde ‘special category’ (ook wel bijzondere persoonsgegevens genoemd). Hiermee bedoelt de wetgever onder meer medische gegevens, informatie over etnische afkomst, strafrechtelijke gegevens enzovoort. 


De verwerking van deze gegevens brengt bijzondere risico’s voor de betrokken personen met zich mee. Daarom is het verwerken van dit soort gevoelige gegevens in principe verboden. 


Toch bevat de GDPR-wetgeving een aantal strikt gedefinieerde uitzonderingen waarbij de verwerking van gevoelige gegevens wel toegestaan is mits de onderneming aan bijkomende verplichtingen voldoet.


Kom je als start-up in aanraking met gevoelige persoonsgegevens, dan moet je dus extra voorzichtig zijn. 


The breach, oftewel het datalek: voorkomen of genezen? 

A data breach, oftewel een datalek in het Nederlands, is natuurlijk iets wat je als ondernemer wilt vermijden. Echter is het niet altijd onoverkomelijk: sinds 2020 worden er in Europa gemiddeld 300 datalekken per dag gemeld. Voor een start-up die nog niet helemaal thuis is in de data protection wereld, is de kans op een datalek redelijk hoog. 


Wat is een datalek?

In de GDPR zelf wordt er niet gesproken over een ‘datalek’, wel over ‘een ‘inbreuk in verband met persoonsgegevens’. Wanneer er zich een inbreuk in verband met persoonsgegevens (datalek) heeft voorgedaan, dient een onderneming actie te ondernemen en dit te melden. Dit is echter niet altijd verplicht. 

Wanneer een datalek wél gemeld moet worden, dienen zowel de gegevensbeschermingsautoriteit als de betrokken natuurlijke personen op de hoogte te worden gebracht. 

Als startende ondernemer kun je alvast een aantal maatregelen nemen om een datalek binnen jouw start-up te voorkomen:


Preventief optreden om een data breach te voorkomen: checklist


  1. Informeer de medewerkers

Om een datalek te voorkomen, moet men het gevaar voor de verwerkte gegevens kunnen herkennen. Dit wil zeggen dat de medewerkers die in aanraking komen met persoonsgegevens best getraind worden om datalekken te kunnen detecteren. Ook een aantal noodmaatregelen die meteen na een data breach kunnen worden genomen, kunnen best toegelicht worden aan iedereen die werkzaam is binnen het bedrijf. 


Een handig hulpmiddel hierbij is een datalekchecklist. Verder kan het regelmatig organiseren van workshops of kennistests in verband met GDPR en datalekken in de meeste gevallen nuttig zijn. 


  1. Werk een intern beleid inzake datalekken en beveiliging uit

Duidelijke en strategische interne procedures kunnen ervoor zorgen dat er snel en correct kan worden opgetreden wanneer een datalek zich voordoet. Deze interne guidelines geven best aan waar datalekken intern moeten worden gemeld en bijgehouden, welke informatie er in zo’n melding moet worden doorgegeven en wie het datalek verder zal analyseren en afhandelen. 


Het is aan te raden om per verwerkingsactiviteit op voorhand in kaart te brengen welke datalekken zich waar kunnen voordoen. Ook op het eerste gezicht minder gevaarlijk lijkende situaties (zoals bijvoorbeeld documenten die per post worden gestuurd) mogen niet uit het oog verloren worden.


  1. Gebruik een malwaredetectiesysteem

Malware is een verzamelterm voor alle soorten software die gemaakt wordt om de werking van technische devices te verstoren. Het woord ‘malware’ zegt het al zelf: het is een combinatie van de Engelse woorden ‘malicious’, wat ‘kwaadwillend’ betekent, en ‘software’. Het gaat dus om onbetrouwbare software die de werking van het systeem kan verstoren, vaak met een datalek als gevolg. 


Gelukkig bestaat er een soort van tegenhanger, malwaredetectiesysteem - software die gemaakt is om malware te detecteren. Het gebruik van een adequaat malwaredetectiesysteem kan op tijd technologische en online gevaren voor databeveiliging van de onderneming opsporen, zodat een datalek alsnog voorkomen wordt. 


Mr. Franklin maakt jouw start-up GDPR-compliant

Als zaakvoerder van een start-up ben je voortdurend bezig met jouw bedrijf. Je wil je vooral focussen op het realiseren van je ambities. Daarbij komen er heel wat juridische vragen op je af: je werkt namelijk niet altijd alleen en hoe dan ook zal je als ondernemer in contact komen met gegevens van werknemers, klanten, sollicitanten of potentiële partners. 


De manier waarop je deze gegevens verwerkt, zal bepalen of jouw bedrijf op vlak van privacy juridisch in orde is. Bij Mr. Franklin kan je terecht voor de juridische begeleiding van A tot Z. Wij helpen je start-up op weg en begeleiden jou doorheen het juridische kluwen en de vraagstukken die je als beginnende ondernemer op je bord krijgt. 


Ook voor de GDPR-compliance van jouw start-up of scale-up kan je op ons rekenen. Wij bieden zowel begeleiding bij de ontwikkeling van jouw product (privacy by design) als bij het in de markt zetten van het product (opmaak privacy en cookie policy, GDPR audit, DPIA, DPO service). Mr. Franklin heeft ruime ervaring in het begeleiden van start-ups en scale-ups binnen diverse sectoren. 


Contacteer ons

Voor ons bij Mr. Franklin is niet alleen correcte juridische uitkomst, maar ook tevredenheid en een persoonlijke band met jou als onderneming een topprioriteit. We hechten daarom veel belang aan eerlijke communicatie, vlotte bereikbaarheid en transparantie over de kosten van onze dienstverlening.


Reeds meer dan 250 ondernemingen gingen je voor. Op onze website kan je de feedback over onze dienstverlening vinden. Benieuwd naar meer informatie over onze services en de eraan verbonden kostprijzen? Neem gerust vrijblijvend contact met ons op! We bekijken graag wat Mr. Franklin voor jouw bedrijf kan betekenen.

 

Olivier Sustronck

+32 486 27 53 05  

olivier@misterfranklin.be

bottom of page