Vanaf 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (GDPR Verordening) in werking. Deze wetswijzigingen brengt enkele belangrijke wijzigingen met zich mee voor iedere onderneming die persoonsgegevens verwerkt.
Wanneer verwerk ik persoonsgegevens?
Er is sprake van persoonsgegevens zodra een natuurlijke persoon aan de gegevens kan geïdentificeerd worden of identificeerbaar is. Dit dient erg ruim geïnterpreteerd te worden. Zo maken naast een naam, een (e-mail-)adres of een telefoonnummer, evenals locatiegegevens, een facebookaccount, een IP-adres of de zoekgeschiedenis op een zoekrobot persoonsgegevens uit.
Telkens u personeels/klantengegevens bijhoudt, een webshop of klantenkaart heeft of aan direct marketing doet, verwerkt u persoonsgegevens.
Wanneer mag ik persoonsgegevens verwerken?
Het is slechts toegestaan om persoonsgegevens te verwerken indien één van volgende verwerkingsgronden van toepassing zijn:
Een ondubbelzinnige en vrije toestemming van de betrokkene
noodzakelijk voor de uitvoering van een overeenkomst
wettelijke verplichting
vitaal belang van de betrokkene of vervulling van openbaar belang
gerechtvaardigd belang
Telkens u personeels- of klantengegevens bijhoudt, een webshop heeft of aan direct marketing doet, verwerkt u persoonsgegevens.
Aan welke verplichtingen moet iedere onderneming voldoen volgens de GDPR?
Opmaak van een register van verwerkingsactiviteiten
Dit register is verplicht op te maken en bij te houden door iedere onderneming die persoonsgegevens verwerkt.
In het register dienen alle datastromen gedetailleerd in kaart gebracht te worden, welke gegevens bewaard worden en wat er gebeurt met deze gegevens. Tevens dient het register aan te geven hoelang de gegevens bewaard worden, en welke beveiligingsmaatregelen genomen worden.
Het register kan ten alle tijde opgevraagd worden door de Privacycommissie en bij gebrek aan kunnen zware boetes uitgeschreven worden
Data protection impact assessment
De verkregen persoonsgegevens moet je als verwerkende onderneming beschermen. Hiertoe dient iedere onderneming een data protection impact assessment op te maken. Hierbij wordt een risico-analyse gedaan van uw onderneming met betrekking tot het verwerken van persoonsgegevens en het veiligheidsniveau van uw onderneming in die zin.
Opmaken verwerkersovereenkomst
Met iedere persoon aan wie u persoonsgegevens deelt of van wie u persoonsgegevens ontvangt dient u verplicht een overeenkomst op te maken om de rechten en plichten met betrekking tot het gebruik, de vertrouwelijkheid en de beveiliging van die persoonsgegevens te regelen.
Meldplicht bij datalekken
Iedere onderneming dient een register van hun datalekken bij te houden. Zodra er zich in de onderneming een datalek voordoet met een zekere impact, dient dit zowel aan de betrokkene als aan de Privacycommissie gemeld te worden. Er is sprake van een datalek, zodra persoonsgegevens bij een verkeerde persoon terecht komen. Dit kan door een hacking maar ook het versturen van een e-mail naar de verkeerde persoon is een datalek.
Inbreuken hierop zullen tevens met zware boetes gesanctioneerd worden.
Bij inbreuken op de wettelijke verplichtingen staan zware boetes
Tijdig antwoorden op verzoeken van betrokkenen
De GDPR heeft naast een reeks verplichtingen ook bijkomende rechten toegekend aan de personen van wie de gegevens verwerkt worden. Deze kunnen thans naast het informatierecht en verbeteringsrecht, eveneens het recht om vergeten te worden inroepen waarbij al hun gegevens moeten gewist worden. Daarnaast kunnen ze zich ook beroepen op het recht op dataportabiliteit. Hierbij dient een onderneming al hun gegevens te bezorgen op een gestructureerde, leesbare en door een machine gangbaar formaat. Al deze verzoeken moeten binnen de maand voldaan worden op straffe van strenge boetes.
Duidelijke privacy policy
De betrokkenen moeten op een duidelijke manier geïnformeerd worden. De privacyverklaring moet daardoor duidelijk, beknopt en transparant zijn en moet verlicht voldoen aan een lijst van informatieverplichtingen. Daarenboven dient de tekst aangepast te zijn aan de doelgroep. Indien een product aan kinderen wordt aangeboden moet de privacy policy ook op deze doelgroep afgestemd zijn.
Intern privacybeleid
Iedere onderneming dient een privacybeleid op te stellen waarin wordt aangegeven hoe en welke persoonsgegevens van het personeel verwerkt worden. Daarnaast dient een policy opgemaakt te worden aan welke verplichtingen uw personeel moet voldoen met betrekking tot de verwerking van persoonsgegevens. Opleiding van personeel is hierbij een belangrijke stap.
Data protection officer (DPO)
Ondernemingen die regelmatig of stelselmatig persoonsgegevens verwerken dienen verplicht een data protection officer (DPO) aan te stellen. Deze zal de onderneming advies verlenen bij de wettelijke verplichtingen en praktische organisatie van de verwerking van gegevens, bijstaan bij de opmaak van documenten, de nodige opleiding voorzien in de onderneming en het aanspreekpunt zijn tussen de privacycommissie en de onderneming.
Ook voor ondernemingen waar een DPO niet verplicht is kan de aanstelling ervan nuttig zijn om uw onderneming bij te staan om aan de vele verplichtingen te voldoen die de GDPR oplegt.
Een goed privacybeleid is een troef die u naar uw klanten kan uitspelen
Sancties
De Privacycommissie heeft reeds aangegeven dat ze actief ondernemingen zal controleren en ook effectief boetes zal uitschrijven bij inbreuken. De boetes kunnen oplopen tot 20.00.000 € of 4% van de totale wereldwijde omzet indien dat groter is.
Conclusie
Wacht niet tot 25 mei 2018 om uw onderneming GDPR-conform te maken. De wet brengt een heleboel extra verplichtingen met zich mee en inbreuken worden met zware boetes gesanctioneerd. De wetgever wil met deze strenge sancties het belang aantonen van databescherming en onderstreept de mentaliteitswijziging die moet doorgevoerd worden. Ook bij de betrokkenen begint het belang van privacy-bescherming en de controle op hun eigen persoonsgegevens steeds belangrijker te worden. Een goed privacybeleid is aldus een troef die u naar uw klanten kan uitspelen.