DPO

Wat verandert de Verordening Gegevensbescherming (GDPR) voor uw onderneming?

in Data Protection by

Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (hierna GDPR) in werking. Deze wetswijzigingen brengt enkele belangrijke wijzigingen met zich mee voor ondernemingen die persoonsgegevens verwerken.

Wanneer verwerk ik persoonsgegevens?

Er is sprake van persoonsgegevens zodra een natuurlijke persoon aan de gegevens kan geïdentificeerd worden of identificeerbaar is. Dit dient erg ruim geïnterpreteerd te worden. Zo maken naast een naam, een (e-mail-)adres of een telefoonnummer, eveneens locatiegegevens, een facebookaccount, een IP-adres of de zoekgeschiedenis op een zoekrobot persoonsgegevens uit.

Er is sprake van een verwerking van persoonsgegevens zodra de gegevens verzameld, gebruikt of zelfs geconsulteerd worden.

Wanneer mag ik persoonsgegevens verwerken?

Het is slechts toegestaan om persoonsgegevens te verwerken indien één van volgende verwerkingsgronden van toepassing zijn:

  • Een ondubbelzinnige en vrije toestemming van de betrokkene
  • noodzakelijk voor de uitvoering van een overeenkomst
  • wettelijke verplichting
  • vitaal belang van de betrokkene of vervulling van openbaar belang
  • gerechtvaardigd belang

Aan welke verplichtingen moet ik voldoen wanneer ik persoonsgegevens verwerk?

1. Iedere verwerking van persoonsgegevens moet voldoende worden beveiligd

Zo moet op permanente basis de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens gegarandeerd worden. Er moet voorzien worden in versleuteling van gegevens. Tevens moeten herstelprocedures voorhanden zijn en moet zowel de verwerking als de beschermingsmaatregelen op geregelde tijdstippen geanalyseerd worden. Ook moet het personeel opgeleid en voorgelicht worden.

2. Tijdig antwoorden op verzoeken van betrokkenen

De GDPR heeft naast een reeks bijkomende verplichtingen ook bijkomende rechten toegekend aan de betrokkenen. Deze kunnen thans naast het informatierecht en verbeteringsrecht, eveneens het recht om vergeten te worden inroepen waarbij al hun gegevens moeten gewist worden. Daarnaast kunnen ze zich ook beroepen op het recht op dataportabiliteit. Hierbij dient een onderneming al hun gegevens te bezorgen op een gestructureerde, leesbare en door een machine gangbaar formaat aangeleverd worden. Al deze verzoeken moeten binnen de maand voldaan worden op straffe van strenge boetes.

3. Meldplicht bij datalekken

Zodra er zich in de onderneming een datalek voordoet, dient dit zowel aan de betrokkene als aan de Privacycommissie gemeld te worden. Onder datalek dient zowel het hacken van het gehele computersysteem als het verliezen van een USB-stick begrepen te worden.

4. Opmaak van een register van verwerkingsactiviteiten

Bij deze analyse kan de opmaak van een register van verwerkingsactiviteiten een belangrijke rol spelen. Dit register is verplicht op te maken door elke onderneming die persoonsgegevens verwerkt, naast deze die noodzakelijk zijn voor de uitvoering van hun activiteit of betrekking heeft op gevoelige of gerechtelijke persoonsgegevens. Ondernemingen zullen snel onder deze verplichting vallen indien ze promotie voeren of zich via een website of sociale media proberen te profileren.

In het register dienen alle datastromen gedetailleerd in kaart gebracht worden, wie toegang heeft tot deze gegevens, wat er gebeurt met deze gegevens en welke risico’s dit inhoudt. Tevens dienen ze aan te geven hoelang ze deze gegevens zullen bewaren, en welke beveiligingsmaatregelen genomen worden.

Het register kan ten alle tijde opgevraagd worden door de Privacycommissie en bij gebrek aan kunnen zware boetes uitgeschreven worden.

5. Data protection impact assessment

Wanneer gebruik gemaakt wordt van nieuwe technologieën die een mogelijks aanzienlijke impact zullen hebben op de privacy van de betrokkenen, dient een analyse te gebeuren van de gevolgen die dit zal hebben, de mogelijke risico’s in kaart brengen.

6. Privacy by default, privacy by design

wanneer nieuwe producten ontwikkeld worden moeten deze ontworpen worden met ingebouwde privacybescherming en met het oog op de GDPR. Zo moeten systemen ontwikkeld worden die het mogelijk maken om gegevens volledig te wissen uit het systeem, moet encryptie mogelijk zijn en dergelijke. Eveneens dienen de producten standaard de hoogst mogelijke privacybescherming bieden aan de gebruikers, die daarna eventueel naar hun voorkeur deze bescherming kunnen afbouwen.

7. Duidelijke privacy policy

De betrokkenen moeten op een duidelijke manier geïnformeerd worden. De privacyverklaring moet daardoor duidelijk, beknopt en transparant zijn. Ellenlange teksten in juridisch jargon is niet meer toegelaten. Daarenboven dient de tekst aangepast te zijn aan de doelgroep. Indien een product aan kinderen wordt aangeboden moet de privacy policy ook op deze doelgroep afgestemd zijn.

8. Overige verplicht op te maken documenten

Met iedere externe verwerker dient een duidelijke overeenkomst afgesloten worden die voldoende garanties naar veiligheid en vertrouwelijkheid bieden. Zodra iemand toegang heeft tot persoonsgegevens van uw onderneming en geen eigen werknemer is, is deze persoon een externe verwerker. Bij de keuze, voorafgaandelijk aan de aanstelling van een verwerker dient met deze garanties rekening gehouden te worden aan de hand van een vendor assessment, om aan te tonen dat de onderneming voorafgaandelijk voldoende haar huiswerk heeft gemaakt. Bij doorgifte van gegevens dient een data transfer agreement te worden opgesteld.

9. Data protection officer (DPO)

Ondernemingen die regelmatig of stelselmatig persoonsgegevens verwerken dienen verplicht een data protection officer (DPO) aan te stellen. Deze zal de onderneming advies verlenen bij de wettelijke verplichtingen en praktische organisatie van de verwerking van gegevens, bijstaan bij de opmaak van documenten, de nodige opleiding voorzien in de onderneming en het aanspreekpunt zijn tussen de privacycommissie en de onderneming.

Ook voor ondernemingen waar een DPO niet verplicht is kan de aanstelling ervan nuttig zijn om uw onderneming bij te staan om aan de vele verplichtingen te voldoen die de GDPR oplegt.

Sancties

De Privacycommissie heeft reeds aangegeven dat ze actief ondernemingen zal controleren en ook effectief boetes zal uitschrijven bij inbreuken. De boetes kunnen oplopen tot 20.00.000 € of 4% van de totale wereldwijde omzet indien dat groter is.

Conclusie

Wacht niet tot 25 mei 2018 om uw onderneming GDPR-conform te maken. De wet brengt een heleboel extra verplichtingen met zich mee en inbreuken worden met zware boetes gesanctioneerd. De wetgever wil met deze strenge sancties het belang aantonen van databescherming en onderstreept de mentaliteitswijziging die moet doorgevoerd worden. Ook bij de betrokkenen begint het belang van privacy-bescherming en de controle op hun eigen persoonsgegevens steeds belangrijker te worden. Een degelijk privacybeleid kan aldus eveneens als troefkaart uitgespeeld worden naar uw klanten toe.

U kan mij steeds vrijblijvend contacteren voor meer informatie omtrent de GDPR.

Ik ben Olivier Sustronck, advocaat te Kortrijk in het kantoor Sustronck-Vandekerckhove-Verhaeghe. Ik ben gespecialiseerd in internetrecht , handels- en vennootschapsrecht. Tevens ben ik gecertificeerd data protection officer. U kan mij steeds vrijblijvend contacteren of een afspraak maken via de kalender in de zijbalk.