DE GDPR voor ondernemingen: de essentie in 6 vragen en antwoorden
Op 25 mei 2018 treedt de GDPR, de nieuwe Europese privacywetgeving, officieel in werking. Over de GDPR is al heel wat inkt gevloeid, maar blijft ook onduidelijkheid bestaan. Want wat houdt ze nu concreet in? En welke verplichtingen komen daarbij kijken? Hier vatten we de essentie voor uw onderneming samen in 6 heldere vragen en antwoorden.
1. Wat is de GDPR?
De GDPR (General Data Protection Regulation) – of AVG (Algemene Verordening Gegevensbescherming) – is de nieuwe privacywetgeving die vanaf 25 mei 2018 voor de hele Europese Unie geldt. Ze vervangt de nationale privacywetgevingen van de lidstaten, die grotendeels dateren uit de jaren 90 en niet up-to-date zijn met het huidige digitale landschap.
2. Waarop is de GDPR van toepassing?
Letterlijk luidt het dat “de GDPR van toepassing is op alle verwerkingen van persoonsgegevens”. Door beide termen onder de loep te nemen, wordt die definitie een stuk concreter:
- Onder ‘verwerkingen’ verstaat de GDPR alles wat je kan ‘doen’ met persoonsgegevens: denk aan het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorsturen, verspreiden, combineren, afschermen, wissen, vernietigen, enzovoort.
- Met ‘persoonsgegevens’ kan je mensen rechtstreeks of onrechtstreeks identificeren: een naam, e-mail- of woonadres, rijksregisternummer, foto, vingerafdruk, werk- of privénummer, online profiel, IP-adres, login, identificatiecookie …
Nagenoeg elke onderneming heeft vandaag een papieren of digitale database met daarin gegevens van klanten, leveranciers en/of personeelsleden, en valt daarmee dus onvermijdelijk onder de GDPR.
3. Wie is verantwoordelijk?
De wetgeving definieert drie belangrijke verantwoordelijken voor de GDPR: de betrokkene, de verwerkingsverantwoordelijke en de verwerker.
- De betrokkene is de natuurlijke persoon van wie de persoonsgegevens verwerkt worden. Hij of zij geniet onder de nieuwe wetgeving meer rechten (zie verder).
- De verwerkingsverantwoordelijke bepaalt waarom er persoonsgegevens verwerkt worden en hoe dat gebeurt. In de praktijk kan het gaan om een natuurlijke persoon, maar ook een bedrijf, overheidsinstantie, dienst of ander orgaan. Denk bijvoorbeeld aan een bedrijf dat via camerabeelden (= hoe) over de veiligheid op haar werkvloer waakt (= waarom).
- De verwerker is een externe organisatie die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zoals een hostingprovider of administratiekantoor. In die laatste twee gevallen bent u ook verwerkingsverantwoordelijke.
Daarnaast doet ook de Data Protection Officer (DPO) zijn intrede: een onafhankelijk adviseur die de naleving van de GDPR nagaat en rapporteert aan de gegevensbeschermingsautoriteit. In bepaalde bedrijven, waar persoonsgegevens op grote schaal verwerkt worden, zal de aanstelling van een DPO verplicht zijn. Het kan gaan om een eigen medewerker of een externe verantwoordelijke.
4. Wat zijn uw verplichtingen?
Een dataregister
Vanaf 25 mei 2018 hoeft u uw verwerking van persoonsgegevens niet meer aan te melden bij de privacycommissie. U moet vanaf nu wel zelf een papieren of digitaal register van persoonsgegevens bijhouden. Deze gegevens moeten daar zeker in:
- De verwerkingsdoeleinden: waarom houdt u deze gegevens bij?
- Categorieën van persoonsgegevens: gaat het om gewone (bv. naam of e-mailadres) en/of bijzondere (bv. religieuze of politieke voorkeuren) persoonsgegevens?
- Categorieën van ontvangers: zijn uw verwerkers personen, overheidsdiensten, banken?
- De termijn: hoe lang houdt u de gegevens bij?
- Uw technische en organisatorische beveiligingsmaatregelen van persoonsgegevens.
Bij een controle zal de toezichthouder dit register – dat steeds up-to-date moet zijn – opvragen. Op basis hiervan wordt ook uw toelating voor gegevensverwerking bepaald.
Toelating voor gegevensverwerking
U mag persoonsgegevens verwerken in zes gevallen. Zo moet er sprake zijn van een toestemming, contract, wettelijke verplichting, vitaal belang, algemeen belang of gerechtvaardigd belang. Als u de toestemming krijgt van de betrokkene, moet u dit altijd duidelijk kunnen bewijzen.
De uitvoering van een DPIA
Als de verwerking van persoonsgegevens een privacyrisico inhoudt voor de betrokkenen, dan moet u vóór de verwerking een Data Protection Impact Assessment (DPIA) uitvoeren. Deze audit gaat na hoe uw onderneming met data omspringt en of u het risico op dataverlies of -diefstal loopt. Eens u de risico’s in kaart hebt gebracht, moet u een actieplan opstellen waarmee u deze kunt vermijden.
De uitvoering van een DPIA is verplicht voor alle ondernemingen die op grote schaal aan profiling en direct marketing doen, of bijzondere categorieën van persoonsgegevens (etnische afkomst, godsdienst …) verwerken. Ofwel voert u de audit zelf uit, ofwel rekent u op een externe partij.
De aanstelling van een DPO
Ook de aanstelling van een Data Protection Officer (DPO) is verplicht als u gegevens op grote schaal verwerkt. U kunt de DPO zien als een preventieadviseur voor de privacy binnen uw onderneming.
Meldplicht bij datalekken
Stelt u een inbreuk op persoonsgegevens vast (bijvoorbeeld verlies of diefstal van data), dan moet u dit binnen de 72 uur aan de toezichthoudende autoriteit melden. In België is dat de Gegevensbescherminsgautoriteit. Bij een hoog risico bent u ook verplicht om het datalek aan de betrokkene(n) zelf mee te delen. Als er echter geen gevaren aan de inbreuk verbonden zijn voor de betrokkenen, dan hoeft u niets aan te melden.
5. Welke rechten hebben de betrokkenen?
De GDPR voorziet meer inspraak voor de betrokkenen dan voorheen. Zo hebben ze voortaan recht op:
- Informatie: u mag geen persoonsgegevens verwerken zonder hun medeweten. De GDPR bepaalt welke gegevens u aan hen moet meedelen.
- Inzage: ze mogen hun gegevens altijd inkijken en bijkomende informatie opvragen.
- Correctie: blijken gegevens onjuist of onvolledig, dan mogen zij vragen om die gegevens te verbeteren of vervolledigen.
- Verwijdering: in een aantal specifieke gevallen kunnen ze vragen om ‘vergeten te worden’. Lees: voorgoed gewist te worden uit uw database.
- Verzet: iedereen mag zich verzetten tegen de verwerking van zijn gegevens op basis van ernstige en gerechtvaardigde redenen.
- Overdraagbaarheid van gegevens: in sommige gevallen mogen ze hun gegevens bij u in een standaardformaat opvragen. Op die manier kunnen ze die eenvoudig aan een andere leverancier met een gelijkaardige dienst overdragen.
- Klachten: iedereen heeft het recht om een klacht in te dienen bij de toezichthoudende overheid bij een inbreuk op de persoonsgegevens.
6. Wat als u de GDPR niet naleeft?
Bij overtredingen tegen de GDPR zal de toezichthoudende autoriteit sancties uitvaardigen. In eerste instantie kunt u een waarschuwing krijgen, of de opdracht om bepaalde persoonsgegevens te wissen, te wijzigen of meer in overeenstemming te brengen met de GDPR-richtlijnen.
Bij ernstige inbreuken riskeert u hoge boetes. Respecteert u uw verplichtingen als verwerkingsverantwoordelijke of verwerker niet, dan kunnen de boetes oplopen tot 10 miljoen euro of 2% van uw totale wereldwijde jaaromzet. Schendt u de algemene regels rond gegevensbescherming, dan gaat het zelfs om 20 miljoen euro of 4% van uw totale jaaromzet.
Als afsluiter: een checklist
U merkt het: de GDPR brengt een pak nieuwe verplichtingen met zich mee. Op zeker spelen? Neem dan uw gegevensverwerking kritisch onder de loep en teken een passend beleid uit. Deze checklist helpt u alvast de belangrijkste vragen te stellen:
Voor welke doeleinden verwerk ik persoonsgegevens?
Op welke grondslag kan ik beroep doen?
Kan ik mijn gegevensverwerking voldoende verantwoorden/bewijzen?
Zijn de betrokken personen geïnformeerd over hun rechten?
Kunnen de betrokkenen hun rechten moeiteloos uitoefenen?
Wisselt u data uit met niet EU-landen? Opgelet: ook zij moeten de GDPR in de EU respecteren.
Documenteerde u alles in een beleid en interne procedures, en werkt dit ook in de praktijk?
Is een veiligheidsaudit (DPIA) noodzakelijk? Zo ja, hebt u deze uitgevoerd en gedocumenteerd?
Heeft u – indien van toepassing – al een DPO aangesteld?
Beschikt u over de nodige procedures om datalekken tijdig te detecteren en melden?
Zijn uw dienstverleners (de ‘verwerkers’) ook in orde met de GDPR?
Meer lezen?
Zie ook de samenvatting plus opnames van het NextConomy webinar over de GDPR & Inhuur extern talent, met tips over wat u in extremis nog kunt doen
You must be logged in to post a comment.