BLOG

Advocaat Vanspeybrouck

GDPR/AVG


Welke verplichtingen heb ik als onderneming onder de GDPR ?

Eerst en vooral zijn er de twee nieuwe kernbegrippen waarmee u rekening dient te houden, zijnde “Privacy by default” en “Privacy by design”.

  • Privacy by default
    • U dient als onderneming interne beleidsmaatregelen te treffen zodat de verwerking van persoonsgegevens zoveel mogelijk geminimaliseerd wordt.
    • Volgens dit begrip dient u ook zoveel mogelijk te streven naar de pseudonimisering van deze gegevens.
    • Voorts dient uw onderneming transparant te zijn over de functies en verwerking van de persoonsgegevens. De betrokken natuurlijk persoon dient zelfs een controlemogelijkheid te krijgen over deze verwerking.
  • Privacy by design
    • Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens of die persoonsgegevens verwerken bij die opdracht, dient u in elke stand van het proces er op toe te zien dat er kan voldaan zijn aan de verplichtingen van de gegevensbescherming.
    • Dit principe is evenwel niet absoluut. U mag als onderneming rekening houden met de stand van de techniek, de kosten, de aard, de omvang, de context en het doel van de verwerking, alsmede de waarschijnlijkheid en ernstig van de risico’s voor de rechten en vrijheden van de natuurlijke personen.

De 6 basisbeginselen van verwerking van persoonsgegevens zijn:

  • Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (rechtmatigheid, behoorlijkheid en transparantie)
  • Persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (doelbinding)
  • Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking)
  • Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten genomen worden om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te verbeteren (juistheid)
  • Persoonsgegevens mogen niet langer worden bewaard – in een vorm die het mogelijk maakt de betrokkenen te identificeren – dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt (opslagbeperking)
  • Door het nemen van een passende technische of organisatorische maatregelen moet een passende beveiliging van persoonsgegevens worden gewaarborgd, zodat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid).

U bent als KMO wettelijk aansprakelijk voor de naleving van deze beginselen en u moet dit op elk moment kunnen aantonen (verantwoordingsplicht - accountability)

Wat zijn de andere wettelijke verplichtingen ?

  • Informatieverplichting
  • Bijhouden van een register van verwerkingsactiviteiten
  • Rechten van betrokkenen respecteren
  • Beveiliging en melding van gegevenslekken
  • Contracten met “verwerkers”
  • Privacy Impact Assessments (PIA) – Gegevensbeschermingseffectbeoordeling (GEB)
    • Een verplicht rapport voor nieuwe gegevensverwerkingen met een waarschijnlijk hoog risico voor de rechten en vrijheden van natuurlijke personen.
    • De PIA moet worden uitgevoerd voor de aanvang van een nieuwe verwerkingsactiviteit (cfr. Privacy by Design) en is een continu proces.
  • Aanstellen van een Data Protection Officer (DPO)

Meer informatie gewenst? Contacteer ons totaal vrijblijvend.

Persoonsgegevens zijn alle informatie waardoor een natuurlijk persoon kan geïdentificeerd worden.

Merk op dat dit begrip zeer ruim geïnterpreteerd wordt !

Het blijft dus zeer zeker niet beperkt tot een naam, voornaam, geboortedatum of adres.

Zo kunnen bepaalde gegevens - die op het eerste zicht niets te maken hebben met persoonsgegevens - door toevoeging van bepaalde informatie toch onder de GDPR vallen.

Er wordt dan ook algemeen aanvaard dat zelfs (dynamische) IP-adressen – de unieke cijfercombinaties waarmee computers op het internet onderling met elkaar communiceren – als persoonsgegevens kunnen aanzien worden.

Een en ander moet uiteraard concreet voor elk specifiek geval bekeken worden, maar sta toch maar eens stil bij de gegevens die u verwerkt.

Neem vrijblijvend contact op voor meer informatie over dit onderwerp.

Moet ik mij zorgen maken over de sancties in de GDPR?

Ja !

Grote ondernemingen en multinationals zullen als eerste geviseerd worden, doch dit impliceert niet dat u als KMO tussen de mazen van het net kunt glippen.

Vanaf het moment dat er iemand een klacht indient ten aanzien van uw onderneming, is de Privacycommissie verplicht om dit te gaan onderzoeken.

Mocht dan blijken dat u niet voldoet aan de dwingende vereisten van de GDPR – AVG, dan riskeert u evenzeer de sancties.

De GDPR – AVG zal vanaf 25.05.2018 een bijkomend instrument zijn dat gebruikt of misbruikt kan worden in het kader van eender welke juridisch geschil dit uw onderneming kan hebben met klanten, leveranciers, personeel e.d.m.

Het is dus ten zeerste aan te raden om u op voorhand de gepaste maatregelen te nemen.

Waarom is de GDPR van belang voor ondernemers?

Toegegeven, de meeste rechten die de GDPR – AVG met zich meebrengt, zijn niet nieuw en waren vroeger al geïmplementeerd via wetgeving of rechtspraak.

(De Belgische Privacywet van 08.12.1992 (B.S. 18.03.1993), De Europese Privacyrichtlijn van 24.10.1995 (95/46/EG), De Europese e-Privacyrichtlijn van 12.07.2002 (2002/58/EG), De Telecommunicatiewet van 13.06.2005 (B.S. 20.06.2005), Het Wetboek Economisch Recht, De Belgische Camerawet van 21.03.2007, Arbeidswetgeving en privacygerelateerde Cao’s (cao nr. 38, 39, 68, 81 en 89).

De handhaving van deze rechten, was echter problematisch aangezien er geen sancties aan verbonden waren.

De GDPR – AVG biedt evenwel een gans scala aan sancties en maatregelen:

  • Zware sancties die oplopen tot 20.000.000 € of 4% van de wereldwijde omzet
  • Omkering bewijslast
  • Mogelijkheid tot het instellen van collectieve vorderingen
  • Krachtdadige toezichthoudende overheidsinstanties per lidstaat – Data Protection Authority (Privacycommissie)
  • Accountability – Verantwoordingsplicht
    • U dient te kunnen aantonen dat u de nodige maatregelen getroffen heeft om de verwerking te laten gebeuren conform de GDPR – AVG. 

U heeft er dus nu alle belang bij om zich te conformeren aan deze nieuwe wetgeving!

Contacteer ons vrijblijvend indien u meer informatie wenst omtrent dit onderwerp.

Ja !

Elke onderneming verwerkt op de een of andere manier informatie over natuurlijke personen.

U heeft als KMO ongetwijfeld informatie over:  

  • Personeel
  • Leveranciers
  • Klanten

In tegenstelling tot hetgeen soms verteld wordt, is de GDPR niet beperkt tot de gegevens die u verwerkt via elektronische weg. Ook de zogenaamde “hard copies”, zoals prints, schriften, registers, dossiers, archief, e.d.m. vallen evenzeer onder het toepassingsgebied.

Heeft u er bijvoorbeeld al eens bij stilgestaan welke (gevoelige) informatie u allemaal heeft over uw werknemers?

Vermoedelijk komt u dan minstens aan volgend lijstje met basis persoonsgegevens:

  • Naam
  • Voornaam
  • Leeftijd
  • Geslacht
  • Rijksregisternummer
  • Burgerlijke staat
  • Identiteitsgegevens van de kinderen en echtgenoot
  • Bankrekeningnummer
  • Vakbond
  • ...

Stuurt u al eens een nieuwsbrief uit ?

Ook dan is de GDPR – AVG van toepassing.

Heeft u een website ?

Zonder het misschien zelf te beseffen verwerkt u via de cookies op uw website ook persoonsgegevens (bv via Google Analytics).

Indien potentiële klanten u een bericht sturen via uw contactformulier op de website, dan valt dit uiteraard ook onder de GDPR – AVG.

U kan niet aan de toepassing van de GDPR – AVG ontsnappen door uw zetel buiten Europa te gaan verplaatsen.

Zelfs voor buitenlandse bedrijven die producten of diensten aanbieden op de Europese markt, is de GDPR van toepassing.

Neem vrijblijvend contact op voor meer informatie over dit onderwerp.