De GDPR (Genral Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming)  regelt het beheer, de beveiliging en het vrij verkeer van persoonlijke gegevens van individuen.

De meeste bepalingen konden reeds in de huidige Belgische Privacywet terug gevonden worden. Toch worden een aantal vereisten om rechtmatig persoonsgegevens te kunnen verwerken aangescherpt. Vanaf het moment van inwerkingtreding is de GDPR of AVG de enige privacywet in Europa waarop betrokkenen zich kunnen baseren. 

Tegen 25 mei 2018 dienen alle bedrijven te voldoen aan deze wetgeving. Het is vooral belangrijk om aan te tonen dat u reeds gestart bent met de nodige voorbereidingen. De GDPR wil er immers voor zorgen dat bedrijven verantwoordelijker omspringen met persoonsgegevens en dat personen meer rechten hebben op het vlak van toegang en verwerking van hun gegevens.

Een belangrijk punt is dat het persoonsgebonden gegevens betreft. Zijnde gegevens die zowel rechtstreeks als onrechtstreeks herleid kunnen worden tot een individu (telefoonnummer, adres, ….). Dit individu wordt de betrokkene genoemd. Bij verwerking van gegevens betreffende rechtspersonen is de GDPR dus niet van toepassing.

Het gaat daarnaast over de verwerking van de gegevens, dit omvat alles wat een onderneming met de gegevens doet van ze gewoon bewaren en lezen tot de gegevens wijzigen of doorgeven.

Van zodra uw een klantendatabase, personeelsbestand, leverancierslijst, verzendlijst voor nieuwsbrieven, …. heeft, houdt u persoonsgegevens bij en valt u dus onder de regeling. Dit geldt zowel voor grote ondernemingen die over grote hoeveelheden data beschikken als over kleinere winkels zoals bakkerijen, slagerijen, … die eveneens een klantendatabase of dergelijke bijhouden. De GPDR treft dus een zeer groot deel van de bedrijven.

A.   Interne organisatie: Toestemming, transparantie en verantwoording

Dit zorgt ervoor dat er intern misschien enkele processen zullen moeten worden aangepast. Deze organisatie dient te worden opgebouwd rond enkele belangrijke principes. 

1.    Toestemming

Vooreerst is er toestemming nodig van de betrokkene voor het verwerken van de gegevens. Het was reeds sinds de privacywetgeving van 1992 zo dat de toestemming voor de verwerking van persoonsgegevens steeds vrij, specifiek, geïnformeerd en ondubbelzinnig moet gegeven worden. Deze basis blijft behouden maar er worden extra voorwaarden aan toegevoegd. De nieuwe wetgeving vereist dat de toestemming moet blijken uit een verklaring of een duidelijke actieve handeling.

Wanneer de betrokkene informatie verstrekt in het kader van een door hem gegeven opdracht dan is de expliciete toelating echter niet nodig. Denk hierbij bijvoorbeeld aan de gegevens die wij als boekhoud- en fiscaal kantoor in ons bezit hebben. De gegevens mogen dan wel niet voor andere doeleinden worden gebruikt. 

2.    Transparantie en verantwoording

Bovendien is het noodzakelijk dat u transparant bent over welke gegevens worden bijgehouden en de reden hiervan.
Dit dient te gebeuren in een eenvoudige, toegankelijke en begrijpelijke taal. De meest doeltreffende manier om aan deze verplichtingen tegemoet te komen is het opstellen van een privacyverklaring waarin hierover duidelijk wordt gecommuniceerd.

Er moet ook verantwoording voorhanden zijn waarom bepaalde gegevens worden bijgehouden. De gegevens dienen daarbij tot een minimum worden beperkt alsook maar zolang worden bijhouden als nodig is om het vooropgestelde doel te bereiken.

Een goede registratie van gegevens is hierbij noodzakelijk. De privacy commissie beveelt daarom iedereen aan om een dataregister bij te houden. Hiervoor werd door de Privacy Commissie een modelregister ter beschikking gesteld.
Het dataregister is terug te vinden via volgende link:
https://www.privacycommission.be/nl/model-voor-een-register-van-de-verwerkingsactiviteiten.

3.    Rechten van betrokkenen

In de GDPR worden aan de betrokkenen verscheidene rechten toegekend. Deze bestonden ook ten tijde van de Belgische privacywetgeving maar worden nu iets meer in de verf gezet en nog uitgebreid. 

Betrokkenen hebben het recht op informatie en toegang tot persoonsgegevens, om de gegevens te wijzigen en zelfs te laten verwijderen. Dit is alles wordt ook voldoende gekaderd in de wetgeving en geeft de betrokkenen geen vrijbrief om alle informatie zomaar te laten wijzigen of verwijderen.

Daarnaast bestaat er ook een recht op gegevensoverdraagbaarheid. Dit betekent dat een betrokkene kan vragen om de persoonsgegevens waarover de onderneming van hem of haar  beschikt naar de betrokkene zelf of een door hem/haar genoemde persoon door te sturen. Dit zal in een gestructureerde, gangbare en machinaal leesbare vorm moeten worden overgedragen.

Het is noodzakelijk voorbereid te zijn om dergelijke vragen van betrokkenen te kunnen opvangen.

B.   Bescherming en datalekken

Het is noodzakelijk om de bescherming van de gegevens serieus te nemen en voldoende preventieve maatregelen te nemen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan.

Enkele suggesties die hierrond worden gegeven zijn de volgende: verwerk niet meer gegevens dan nodig en niet langer dan nodig, gebruik sterke paswoorden, sluit uw computer wanneer u niet in buurt bent, maak geen gebruik van USB-sticks, versnipper papier, ….

Een reeks aan preventieve maatregelen kan helaas niet altijd voorkomen dat een datalek zich voordoet.
Daarom is het belangrijk ook een reactief privacy beleid uit te werken. De onderneming heeft immers een meldingsplicht onder de nieuwe wetgeving. De onderneming is verplicht het datalek binnen de 72 uren aan de Gegevensbeschermingsautoriteit (nu nog bekend als de Privacy Commissie) te melden. In bepaalde gevallen is het ook noodzakelijk om de betrokkene zelf op de hoogte te brengen van het lek.

Opgelet een datalek hoeft niet altijd een gigantische omvang te kennen. Denk maar aan het verlies van een gsm, het versturen van een verkeerde email met inbegrip van persoonlijke informatie, uw kind neemt USB stick met informatie van uw onderneming mee naar school voor een spreekbeurt, …. 

C.   Doorgifte van gegevens

Ondernemingen werken vaak samen met of in opdracht van elkaar. Dit houdt soms in dat er onderling gegevens worden uitgewisseld. Het gaat dan om een verwerker, de organisatie die gegevens opslaat of verwerkt en de verwerkingsverantwoordelijke, degene die de persoonsgegevens bezit.

Als u de verwerking van persoonsgegevens uitbesteedt aan een ander bedrijf, dan moet u daarvoor een verwerkersovereenkomst afsluiten. In deze overeenkomsten worden afspraken gemaakt over de duur, de beschrijving,
de doeleinden, de maatregelen voor gegevensbescherming, etc.

D.   Sancties

De GDPR voorziet in de mogelijkheid om ondernemingen die hun verplichtingen niet nakomen te sanctioneren.
De administratieve boetes kunnen oplopen tot 20 miljoen of 4% van de jaarlijkse wereldwijde omzet. 

Deze maximumboetes zullen enkel in de meest buitengewone gevallen worden opgelegd. Het is de bedoeling dat de boete voldoende afschrikkend is. Op deze manier kunnen ook invloedrijke en kapitaalkrachtige ondernemingen hun inbreuken niet zomaar afkopen. 

E.    Samenvattende bedenkingen

Hierbij geven we in enkele punten nog de belangrijkste zaken en aandachtspunten mee:

• • • Het verzamelen van gegevens gebeurt met de actieve toestemming van de klant. In een professionele relatie zit dit echter vervat in de gevraagde opdracht.
    • Verzamel en verwerk de gegevens enkel voor de doeleinden waarvoor ze werden verstrekt. Let hierbij op met het sturen van mails voor promoties, events, nieuwe producten, … Klanten moeten de mogelijkheid hebben om te kennen te geven dat zij deze informatie niet langer wensen te ontvangen.
    • Ga intern zorgvuldig om met de gegevens. Zorg dat iedereen binnen de onderneming op de hoogte is van de privacywetgeving en het belang van beveiliging. Een professionele benadering staat hierbij voorop.
    • Hou bij welke gegevens u van wie bewaart. Hierdoor bent u ook voorbereid op eventuele vragen van klanten om hun gegevens op te vragen, te wijzigen, te verwijderen of over te dragen. Een goede voorbereiding spaart op dat moment geld en vooral tijd uit.
    • Voorzie in voldoende bescherming van deze gegevens om ongewenste toegang, wijzigingen en lekken te voorkomen.
    • Bij eventuele lekken, doe melding bij de Privacy Commissie.