Aandacht voor 
het behoud van uw
commerciële relatie 
met uw klanten 

Expertise 
en transparantie

Bevoorrechte partner
van ondernemers

Jong en 
dynamisch team

Wij gaan voor 
een totaalaanpak

Steeds online 
toegang tot uw dossiers

Unieke en voordelige 
abonnementsformules

Invorderingexperts

Geen financiële 
verrassingen

7 juni 2017

De Algemene Verordening Gegevensbescherming (GDPR: General Data Protection Regulation)

 Redenen 

De GDPR dient vooral om de privacy van consumenten, werknemers enz. beter te beschermen in deze data-economie.
De huidige wet was sinds 1995 niet meer substantieel aangepast. Ondertussen is de technologie enorm gemoderniseerd en verwerken bedrijven en organisaties steeds meer data voor uiteenlopende doeleinden.
Op vandaag heeft elk van de 28 landen van de Europese Unie haar eigen wetgeving, weliswaar op basis van de omzetting van Europese richtlijn 95/46/EG. De rechtstreekse werking van de GDPR moet de naleving voor multinationale ondernemingen vergemakkelijken.

Elk bedrijf verwerkt vandaag persoonsgegevens: van klanten, prospecten, leveranciers, medewerkers… Maar dat mag voortaan ofwel met een duidelijke toestemming van de betrokkene, ofwel omdat dit om diverse legitieme redenen noodzakelijk is. En ‘persoonlijke data’ moet je heel ruim zien: 'Dat is alle informatie over een natuurlijk persoon, zoals een naam, identificatienummer, een (IP-)adres, een abonnement of enig ander element dat je fysieke, genetische, psychische, economische of sociale identiteit kan bepalen. Ondernemingen mogen in principe geen persoonsgegevens verwerken over ras, gezondheid, politieke, syndicale, seksuele of levensbeschouwelijke overtuigingen, noch over genetische en biometrische gegevens tenzij de betrokkene zijn uitdrukkelijke toestemming heeft gegeven.

De ondernemingen zullen zich er moeten op organiseren om de betrokken ‘data subjects’ te kunnen informeren over hun rechten en over hun verwerkte persoonsgegevens. De GDPR herneemt of expliciteert de individuele rechten uit de Richtlijn: het recht op informatie en inzage, recht op verwijdering of op correctie, recht op verzet tegen direct marketingpraktijken, recht op bezwaar tegen geautomatiseerde besluitvorming en profilering. Met het toegenomen toezicht is het evenwel naïef te veronderstellen dat dit ook nu nog grotendeels dode letter kan blijven. En de verordening voegt er 2 nieuwe rechten aan toe: het recht op beperking van de verwerking en het recht op overdraagbaarheid.

Accountability

De GDPR responsabiliseert de ondernemingen met nieuwe verplichtingen. Kenmerkend voor het nieuwe systeem is immers de 'verantwoordingsplicht' of documentatieplicht. Die vervangt de huidige aanmeldingsplicht: 'Ondernemingen zullen zelf moeten nagaan en kunnen bewijzen dat zij de regels kennen en naleven en hun persoonsgegevens correct verwerken. Behalve in KMO’s moet elke verwerkingsverantwoordelijke daartoe o.m. een register met alle uitgevoerde verwerkingsactiviteiten bijhouden.' Focquet wijst ook even op de meldplicht bij datalekken of beveiligingsinbreuken (data breaches): 'Als persoonsgegevens verloren gaan of gestolen worden, moet je in bepaalde omstandigheden de privacy-autoriteit binnen de 72 uur verwittigen, evenals de betrokken klanten. 

In bepaalde hoge risicosituaties zal zelfs eerst een voorafgaandelijke ‘Data Protection Impact Assessment’ nodig zijn. Die gegevensbeschermingseffectbeoordeling is bijvoorbeeld verplicht bij gebruik van een nieuwe technologie of bij een profileringsoperatie met aanzienlijke gevolgen voor de betrokkenen.

In beperkte gevallen moeten sommige bedrijven ook een interne of externe gegevensbeschermingsfunctionaris (Data Protection Officer) aanstellen. Denk bijvoorbeeld aan banken en verzekeraars. Zijn deskundig toezicht op de naleving van GDPR is nodig als men als hoofdactiviteit regelmatig en stelselmatig grote groepen observeert of als men op grote schaal bijzondere persoonsgegevens verwerkt. 'Maar het wordt sowieso voor iedereen een ‘best practice’ om intern een jurist aan te stellen om te waken en te helpen bij de correcte naleving. Hij is best geplaatst om de wet te interpreteren, te integreren of uit te leggen. 

Bedrijfsaudit

In het licht van de nieuwe verplichtingen zal elk bedrijf onvermijdelijk een privacy audit moeten uitvoeren om in kaart te brengen welke data het gebruikt, waar die vandaan komen, wie er toegang toe heeft, welke onderaannemers gebruiksrechten hebben enzoverder. 'Alleen zo kan je alle veiligheidsrisco’s inschatten, wat noodzakelijk is om de nieuwe verplichtingen correct in te schatten.' Met die DPO, DPIA en dergelijke voert de verordening overigens een ‘risk based approach’ in: de verplichtingen nemen toe naarmate het risico voor de betrokkenen hoger is. Na die audit volgt een actieplan met aanpassingen op het vlak van de technische beveiliging, bedrijfsprocessen, contracten en reglementen.

 Wie niet GDPR-compliant is tegen mei 2018, mag zich aan strengere controles en hogere administratieve boetes verwachten. 'De privacycommissie krijgt namelijk onderzoeks- en vervolgingsbevoegdheden die vergelijkbaar zijn met die van de mededingingsautoriteiten. Zo kunnen ze zowel documenten opvragen als ter plaatse inspecties verrichten. Staatsscretaris De Backer heeft al laten verstaan dat de GDPR een hele klus wordt maar dat er geen uitstel noch respijt kan worden gegeven.'

To do’s

Ook in het privacyrecht geldt dat voorkomen beter is dan genezen. Met deze vier acties ben je goed op weg om ervoor te zorgen dat je persoonsgegevensverwerking vanaf 25 mei 2018 correct verloopt!

  1. Breng alle bestaande gegevensverwerkingsactiviteiten (zowel die van werknemers als leveranciers en klanten) volledig in kaart.
  2. Ga voor elke verwerkingsactiviteit na wat GDPR daarover bepaalt of vooropstelt. (Bijvoorbeeld: is er een rechtmatige verwerkingsgrond? Werden de betrokkenen vooraf correct geïnformeerd of om een specifieke toestemming gevraagd? Worden de data correct bewaard? Wordt er een gerechtvaardigd belang behartigd?).
  3. Stel nu al een interne compliance policy op met goede procedures voor het opstarten van de verwerkingsactiviteiten, het bijhouden van het register, de opvolging van de verzoeken van de betrokkenen, het melden van datalekken…
  4. Geef opleiding aan alle betrokkenen opdat zij de compliance policy ook effectief met kennis van zaken kunnen toepassen.'

 

Bron: http://www.legalworld.be/legalworld/GDPR-een-hele-juridische-kluif.html?LangType=2067

terug naar overzicht