Welke verplichtingen heb ik als onderneming onder de GDPR ?
Eerst en vooral zijn er de twee nieuwe kernbegrippen waarmee u rekening dient te houden, zijnde “Privacy by default” en “Privacy by design”.
- Privacy by default
- U dient als onderneming interne beleidsmaatregelen te treffen zodat de verwerking van persoonsgegevens zoveel mogelijk geminimaliseerd wordt.
- Volgens dit begrip dient u ook zoveel mogelijk te streven naar de pseudonimisering van deze gegevens.
- Voorts dient uw onderneming transparant te zijn over de functies en verwerking van de persoonsgegevens. De betrokken natuurlijk persoon dient zelfs een controlemogelijkheid te krijgen over deze verwerking.
- Privacy by design
- Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens of die persoonsgegevens verwerken bij die opdracht, dient u in elke stand van het proces er op toe te zien dat er kan voldaan zijn aan de verplichtingen van de gegevensbescherming.
- Dit principe is evenwel niet absoluut. U mag als onderneming rekening houden met de stand van de techniek, de kosten, de aard, de omvang, de context en het doel van de verwerking, alsmede de waarschijnlijkheid en ernstig van de risico’s voor de rechten en vrijheden van de natuurlijke personen.
De 6 basisbeginselen van verwerking van persoonsgegevens zijn:
- Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (rechtmatigheid, behoorlijkheid en transparantie)
- Persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (doelbinding)
- Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking)
- Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten genomen worden om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te verbeteren (juistheid)
- Persoonsgegevens mogen niet langer worden bewaard – in een vorm die het mogelijk maakt de betrokkenen te identificeren – dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt (opslagbeperking)
- Door het nemen van een passende technische of organisatorische maatregelen moet een passende beveiliging van persoonsgegevens worden gewaarborgd, zodat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid).
U bent als KMO wettelijk aansprakelijk voor de naleving van deze beginselen en u moet dit op elk moment kunnen aantonen (verantwoordingsplicht - accountability)
Wat zijn de andere wettelijke verplichtingen ?
- Informatieverplichting
- Bijhouden van een register van verwerkingsactiviteiten
- Rechten van betrokkenen respecteren
- Beveiliging en melding van gegevenslekken
- Contracten met “verwerkers”
- Privacy Impact Assessments (PIA) – Gegevensbeschermingseffectbeoordeling (GEB)
- Een verplicht rapport voor nieuwe gegevensverwerkingen met een waarschijnlijk hoog risico voor de rechten en vrijheden van natuurlijke personen.
- De PIA moet worden uitgevoerd voor de aanvang van een nieuwe verwerkingsactiviteit (cfr. Privacy by Design) en is een continu proces.
- Aanstellen van een Data Protection Officer (DPO)