GDPR-verplichtingen voor ondernemingen

Met de komst van de privacywetgeving zijn er ook GDPR-verplichtingen voor ondernemingen ontstaan. Daarbij is het niet van belang of het om een multinational of een eenmanszaak gaat: de regelgeving rond gegevensverwerking geldt voor iedereen. Wij lichten de belangrijkste keypoints even toe.

Geldt General Data Protection Regulation voor iedere onderneming?

General Data Protection Regulation (of Algemene Verordening Gegevensbescherming) is relatief nieuwe Europese privacywetgeving die geldt voor alle ondernemingen, overheidsinstanties en verenigingen die persoonsgegevens verwerken of verzamelen. 

GDPR geldt dus niet voor elke organisatie, maar tegenwoordig valt een bedrijf al snel onder toepassingsgebied van deze regelgeving. Indien je bijvoorbeeld klantengegevens of gegevens van personeelsleden bijhoudt of de e-mailadressen van natuurlijke personen gebruikt in een mailing, dan is er al sprake van een gegevensverwerking.

Let op: GDPR geldt ook voor niet-Europese bedrijven die goederen of diensten in de Europese lidstaten aanbieden en persoonsgegevens van EU-inwoners verwerken.

​

​

Wat zijn de verplichtingen onder GDPR?

Een onderneming die persoonsgegevens verwerkt moet dus aan een aantal verplichtingen voldoen. Om te beginnen moet elke verwerking van persoonsgegevens, hoe onbelangrijk ook, gebaseerd zijn op een rechtsgrond. Deze rechtsgronden zijn limitatief opgesomd in de GDPR-wetgeving:

• Toestemming van de betrokkene

• De gegevensverwerking is noodzakelijk voor de uitvoering van de overeenkomst

• De gegevensverwerking is wettelijk verplicht

• Het verwerken van de persoonsgegevens is noodzakelijk om de bescherming van vitale belangen van de betrokkenen te garanderen 

• De verwerking gebeurt in het algemeen belang

• Het is noodzakelijk om de persoonsgegevens te verwerken om een gerechtvaardigd belang te behartigen

Online is de meest gebruikte rechtsgrond de toestemming van de betrokkene, maar ondernemingen zullen meestal persoonsgegevens verwerken in het kader van een contractuele opdracht van een klant of om te voldoen aan een wettelijke verplichting.

Verder geldt er ook een transparantieverplichting. Hierdoor is jouw onderneming verplicht (indien het persoonsgegevens verwerkt) om betrokken natuurlijke personen op een transparante en begrijpelijke manier op de hoogte te brengen van de verwerking. Dit dient schriftelijk te gebeuren en moet aantoonbaar zijn, zoals het toevoegen van een privacy policy op een website. Zo heb je meteen een schriftelijk bewijs indien er later eventuele juridische betwistingen zullen ontstaan.

Hoewel het vrij eenvoudig klinkt, is de uitvoering van deze transparantieverplichting niet altijd even voor de hand liggend. Mr. Franklin staat jouw onderneming graag met raad en daad bij in deze en vele andere juridische kwesties rond GDPR-regelgeving. Reeds 250+ bedrijven gingen jou voor.

​

​

Verwerking van bijzondere persoonsgegevens

Bovendien bestaat er ook een aparte categorie van de meest risicovolle persoonsgegevens -  de zogenaamde “gevoelige gegevens”. Dit zijn bijvoorbeeld medische gegevens, informatie over etnische afkomst, strafrechtelijke gegevens etc. De wetgever is van mening dat de verwerking hiervan bijzondere risico’s voor de betrokken personen met zich meebrengt.

Daarom is het verwerken van gevoelige gegevens in principe verboden. Echter bevat de GDPR-wetgeving een aantal strikt gedefinieerde uitzonderingen: in deze gevallen is de verwerking van gevoelige gegevens wel toegestaan mits de onderneming aan bijkomende verplichtingen voldoet.

​

​

Wat als mijn onderneming niet in orde is met GDPR?

Verwerkt jouw bedrijf persoonsgegevens op een niet GDPR-conforme wijze, dan zal dit uiteraard tot sancties leiden. Onder meer kan de toezichthoudende autoriteit jou een boete opleggen: deze kan tot 4% van jaarlijkse wereldwijde omzet van jouw onderneming oplopen. Bovendien kan iedere natuurlijke persoon wiens gegevens onrechtmatig werden verwerkt een klacht neerleggen bij de Gegevensbeschermingsautoriteit.

Data Protection Officer

​

Een Data Protection Officer (DPO) is een onafhankelijk persoon die toeziet op de naleving van de GDPR-vereisten binnen een organisatie. In een aantal specifieke gevallen geldt er een wettelijke verplichting om een DPO aan te stellen: bijvoorbeeld als een onderneming bijzondere gegevens op grote schaal verwerkt. Voor organisaties die van deze verplichting zijn vrijgesteld kan het alsnog voordelig zijn om een Data Protection Officer aan te stellen.

Met de ondersteuning van een externe DPO ben je als bedrijfsleider namelijk altijd zeker dat jouw onderneming GDPR-conform opereert. Bovendien wordt hier mogelijks rekening mee gehouden indien de toezichthoudende autoriteit persoonsgegevens beslist om al dan niet een geldboete op te leggen: in sommige gevallen wordt de aanwezigheid van een DPO als een verzachtende factor gezien.

Het team van Mr. Franklin telt drie gecertificeerde DPO’s. Allemaal hebben ze ruime ervaring mogen opdoen als Data Protection Officers voor ondernemingen in diverse sectoren. We werken met all-in formules: prijs voor een kwartaalabonnement DPO as-a-service start vanaf 300,00 € + BTW.

​

​

Mr. Franklin: GDPR-service op maat

Ondernemingen die onder het toepassingsgebied van GDPR vallen moeten erop blijven toezien dat deze wetgeving gerespecteerd wordt. De mogelijke complicaties die daarbij kunnen komen kijken zijn niet te onderschatten. Daarbij wordt de wetgeving relatief vaak aangevuld door belangrijke rechtspraak, waardoor het steeds belangrijk blijft om het beleid van je onderneming up-to-date te houden.

Mr. Franklin neemt graag deze juridische zorgen van je over. Als advocatenkantoor zijn wij gespecialiseerd in het aanbieden van allerlei GDPR-services op maat. Daarbij hanteren we steeds pragmatische en duidelijke aanpak. De transparantie over de kosten (en over het dossier uiteraard) is onze prioriteit: daarom werken we waar mogelijk met vaste tarieven en all-in-one formules. Prijzen voor onze all-in-one pakketten starten vanaf 2.000,00 € + BTW.