top of page
wit vlak
wit vlak
logo

WIE MOET ZICH HOUDEN AAN DE GDPR?

De GDPR-verordening geldt voor alle ondernemingen en overheidsdiensten binnen de Europese Unie die persoonsgegevens verwerken en verzamelen.

Het begrip ‘persoonsgegevens’ omvat alle mogelijke gegevens en informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijk persoon. Men spreekt hier soms ook wel over ‘betrokkenen’. Kortom: als gegevens direct over een persoon gaan of naar deze persoon te herleiden zijn, is er al sprake van persoonsgegevens.

Onder persoonsgegevens kunnen heel wat zaken vallen. Denk bijvoorbeeld aan een e-mailadres, telefoonnummers of een IP-adres.

Voor de meeste ondernemingen betekent dit dat zij continu met persoonsgegevens in aanraking komen. Dit kan bijvoorbeeld gaan over klanten, leveranciers, medewerkers en misschien zelfs potentiële klanten waarvan reeds gevoelige gegevens werden verzameld.

rood vlak
icoon xwing

GDPR BOETE

De General Data Protection Regulation (GDPR) stelt strenge eisen aan de manier waarop organisaties persoonsgegevens verwerken. Het niet naleven van deze regels kan leiden tot forse boetes die kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet. Deze boetes zijn niet alleen financieel belastend, maar brengen ook reputatieschade met zich mee.

 

Bij Mr. Franklin zijn we gespecialiseerd in privacyrecht en helpen we uw organisatie GDPR-compliant te worden én te blijven. Van risicoanalyse en beleidsimplementatie tot juridische bijstand bij onderzoeken en sancties, wij zorgen ervoor dat u voorbereid bent en boetes kunt voorkomen.

WELKE VERPLICHTINGEN MOETEN ONDERNEMINGEN NALEVEN?

De manier waarop ondernemingen omgaan met persoonlijke gegevens en ze verwerken is onderworpen aan de verplichtingen uit de GDPR.

Een onderneming moet op elk ogenblik in staat zijn om te verantwoorden waarom en op welke manier er persoonsgegevens van de betrokkenen worden verzameld en verwerkt. Voor de verwerking van persoonsgegevens moet er ook steeds een verwerkingsgrond zijn. Bedrijven mogen dus niet zomaar gegevens van personen verzamelen of bijhouden en hebben een zekere verantwoordingsplicht. Daarnaast legt de GDPR nog een aantal andere verplichtingen op aan bedrijven.

Verwerkingsgronden

Er zijn meerdere verwerkingsgronden (‘rechtsgronden’) mogelijk, zoals de verwerkingsgrond ‘toestemming’. Indien de betrokken persoon zelf zijn of haar toestemming geeft, kan er dus een rechtvaardiging zijn tot het verwerken van gegevens.

Het krijgen van deze toestemming moet ook voldoen aan een aantal voorwaarden, die in de GDPR worden bepaald. Zo moet de betrokkene weten waarvoor er toestemming wordt gegeven, welke persoonsgegevens er zullen verwerkt worden, voor welk doel en voor hoe lang.

Er zijn naast deze specifieke toestemming ook nog andere verwerkingsgronden mogelijk, zoals een ‘gerechtvaardigd belang’ of een ‘wettelijke verplichting’. In totaal zijn er 6 mogelijke rechtsgronden op basis waarvan gegevens mogen worden verwerkt.

Verwerkingsregister opstellen

 

Bedrijven zijn onder de GDPR ook verplicht om een register van de verwerkingsactiviteiten op te stellen en bij te houden. Het gaat hier om interne documentatie die bedrijven zelf bijhouden en waarin informatie wordt bijgehouden over de persoonsgegevens die worden verwerkt.


Het register moet leesbaar en begrijpelijk zijn voor de GBA. Daarom stelt ze op haar website zelf een modelformulier ter beschikking.

Bedrijven kunnen door de GBA gevraagd worden verantwoordingsplicht af te leggen met betrekking tot dit register. Daarom besteed je hier als onderneming best aandacht aan. Een expert van Mr. Franklin kan je hierbij helpen.
 

Andere GDPR verplichtingen

 

De GDPR bevat nog andere verplichtingen voor ondernemingen en zaken waar rekening mee moet worden gehouden. Zo is het soms verplicht een effectbeoordeling inzake gegevensbescherming (GEB) op te maken, indien de verwerking van persoonsgegevens een groot risico inhoudt voor de vrijheden en rechten van de betrokken persoon.


Ook is er voor betrokkenen bijvoorbeeld een recht om vergeten te worden.

Om er zeker van te zijn dat je als bedrijf volledig GDPR-proof bent en geen enkele verplichting over het hoofd ziet, doe je best een beroep op de expertise van Mr. Franklin.

De GDPR is in het leven geroepen door de Europese Commissie met het doel om de Europese burger beter te beschermen op het vlak van privacy en gegevensbescherming.  De identiteit van een persoon en de bescherming ervan staan als het ware centraal. Toestemming (consent) van de betrokkene speelt een belangrijke rol binnen de GDPR.

Langs de andere kant heeft de GDPR ook tot doel om ondernemingen op een meer bewuste en veiligere manier te laten omgaan met verzamelde gegevens. Door aan bedrijven wettelijke verplichtingen op te leggen, worden ze aangespoord hier werk van te maken.

Een onderneming heeft er alle baat bij om op een correcte en bewuste manier om te gaan met verzamelde gegevens. Dat is namelijk wat klanten en medewerkers appreciëren, waardoor er een groter vertrouwen in jouw onderneming komt.

GDPR-boetes moeten een incentive zijn om actief werk te maken van gegevensbescherming. Een GDPR-boete is immers iets wat je als bedrijf liever vermijdt. De expertise van Mr. Franklin kan hierbij helpen.

GELDT DE GDPR OOK VOOR KLEINE ONDERNEMINGEN EN VERENIGINGEN?

Absoluut. Alle ondernemingen vallen onder het toepassingsgebied van deze privacywetgeving. Hierbij speelt het geen enkele rol wat de wereldwijde jaaromzet van je bedrijf is, hoeveel werknemers je in dienst hebt, of je in een bepaalde sector werkt... Het doet er ook niet toe of het gaat om een klein bedrijf of een grote multinational.

Ook de vennootschapsvorm van je bedrijf is van geen enkel belang. Of je nu een BV of NV bent, de GDPR en bijgevolg ook de GDPR-boetes zijn zaken waar je verplicht bent rekening mee te houden en die je dus goed in het achterhoofd moet houden.

De GDPR is ook van toepassing op zelfstandigen, verenigingen en organisaties die persoonsgegevens verwerken.

WAAROM MOETEN ONDERNEMINGEN REKENING HOUDEN MET DE GDPR?

ADMINISTRATIEVE BOETES

GDPR-boetes kunnen hoog oplopen. Bij een overtreding of verschillende overtredingen van de GDPR kan de Gegevensbeschermingsautoriteit de betrokken onderneming een geldboete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van de onderneming, naargelang welk bedrag het hoogste resultaat geeft.

Deze boetes worden ook effectief uitgeschreven, en niet alleen aan grote ondernemingen zoals Google of Facebook maar ook aan kleinere ondernemingen en zelfs aan particulieren indien deze de regels overtreden.

 

Een overzicht van de boetes en beslissingen met hun bijhorende sancties kan je terugvinden op de website van de Gegevensbeschermingsautoriteit

BELGISCHE TOEZICHTHOUDENDE AUTORITEIT

De Gegevensbeschermingsautoriteit (GBA) is de bevoegde Belgische toezichthoudende autoriteit die toeziet op de bescherming van de privacy bij de verwerking van persoonsgegevens.

Het gaat om een instelling van de overheid die de bevoegdheid heeft gekregen om toe te zien op de naleving van de GDPR. De Inspectiedienst van de GBA kan een onderzoek starten naar aanleiding van een klacht of op eigen initiatief. Daarna volgt een verslag aan de Geschillenkamer, het geschilorgaan van de GBA, die administratieve geldboetes kan opleggen aan ondernemingen die zich niet houden aan de GDPR.

In Nederland is de bevoegde gegevensbeschermingsautoriteit de Autoriteit Persoonsgegevens. Ook zij ziet toe op de naleving van de verplichtingen uit de GDPR en kan GDPR-boetes aan ondernemingen opleggen.

Overkoepelend binnen de Europese Unie bestaat er ook nog de European Data Protection Board (Europees Comité voor gegevensbescherming). Dit is een onafhankelijk Europees orgaan dat toeziet op de consequente toepassing van de GDPR en de samenwerking tussen de verschillende nationale gegevensbeschermingsautoriteiten bevordert.

WANNEER WORDEN ER BOETES OPGELEGD?

Inbreuken op de GDPR kunnen aanleiding geven tot sancties. De Gegevensbeschermingsautoriteit (GBA) maakt na een onderzoek een verslag over aan de Geschillenkamer, die aan jouw onderneming een GDPR-boete oplegt wanneer een inbreuk op de GDPR wordt vastgesteld. Dit wordt ook wel de ‘procedure ten gronde’ genoemd.

Is er bijvoorbeeld geen correcte rechtvaardiging voor het verwerken van persoonsgegevens, of worden de gegevens te lang bewaard, dan loop je als onderneming het gevaar een GDPR-boete op te lopen.

WANNEER START DE GBA EEN ONDERZOEK?

Meestal loopt een procedure bij de GBA naar aanleiding van een klacht. Als iemand meent dat zijn of haar persoonsgegevens op een onjuiste manier verwerkt worden kan die persoon een klacht indienen bij de GBA. Denk bijvoorbeeld aan een klant, een zakenpartner of leverancier.

Ook zonder klacht kan de GBA op eigen initiatief een procedure starten en een onderzoek voeren naar hoe de gegevensverwerking binnen jouw onderneming loopt.

Het onderzoek binnen de GBA wordt gevoerd door de Inspectiedienst van de GBA.

Onze medewerkers zijn naast advocaten ook gecertificeerde DPO's met veel ervaring in allerhande sectoren. Zo zijn we actief in de medische sector, IT sector, entertainment sector, marketing sector, HR sector, juridische sector... We stonden reeds meer dan 500 ondernemingen bij in het kader van de GDPR. Referenties en reviews kan je onderaan deze pagina vinden.

GDPR Compliance
 
Mr. Franklin biedt all-in-one pakketten tegen vaste prijzen om ervoor te zorgen dat jouw bedrijf GDPR-proof is. Hierbij wordt een GDPR- en veiligheidsbeleid op maat opgesteld, zodat jij op beide oren kan slapen.

Er wordt rekening gehouden met de specifieke wensen van jouw bedrijf en manier van werken, jouw personeel, commerciële belangen en specifieke verwachtingen. 

DPO as a service
 
Ook kan je een beroep doen op de advocaten van Mr. Franklin die kunnen optreden als gecertificeerde data protection officer (DPO). Een data protection officer is een onafhankelijk persoon binnen een onderneming die toeziet op de naleving van de GDPR.

Soms is het verplicht een DPO aan te stellen, vooral voor ondernemingen die veel gevoelige persoonsgegevens verwerken, zoals advocatenkantoren, dokterspraktijken en gerechtsdeurwaarderskantoren. Dit is nodig om de hoogstaande kwaliteit van de gegevensbeveiliging te kunnen garanderen.

Bijstand in procedures
 
Je kan bij Mr. Franklin ook terecht voor bijstand in procedures. Dit kan gaan om procedures voor de GBA, maar ook gerechtelijke procedures, bijvoorbeeld als je een opgelegde sanctie wilt aanvechten.

De GBA en Geschillenkamer hechten veel belang aan medewerking, zowel tijdens de onderzoeksfase als tijdens de procedure ten gronde. Daarom doe je best een beroep op de expertise en ervaring van de gespecialiseerde advocaten van Mr. Franklin. Op die manier kan je procedures en hoogoplopende boetes vermijden.

WAT KAN MR. FRANKLIN VOOR JOU BETEKENEN?

VOLGENDE ORGANISATIES VERTROUWEN OP MR. FRANKLIN

bottom of page