Op 14 april 2016 heeft het Europees Parlement de General Data Protection Regulation (GDPR) goedgekeurd. Kort samengevat zijn dit de nieuwe beschermregels voor gegevensverwerking. Waar komen we dan nu nog mee af? Op 25 mei 2018 zal de verordening van kracht worden in alle Europese lidstaten. Wanneer je als onderneming niet voldoet aan de eisen van de nieuwe wetgeving, riskeer je vanaf mei 2018 zware boetes. 

Wat houdt GDPR in?

Met deze nieuwe verordening wil Europa een hoger beschermingsniveau voor alle particulieren wiens persoonsgegevens verwerkt worden. Vanaf 25 mei 2018 kunnen particulieren zich rechtstreeks op hun bijkomende rechten in de nieuwe privacywetgeving beroepen, en dit tav elke onderneming die persoonsgegevens verwerkt. Belangrijker dan het vermijden van boetes is dat de nieuwe privacywetgeving voor bedrijven een opportuniteit vormt om op een transparante en datavriendelijke manier om te gaan met klanten. Wie op de juiste manier omspringt met persoonsgegevens kan dit als een USP (Unique Selling Proposition) uitdragen. Klanten kiezen immers steeds vaker de dienstverlener die hun privacy het best kan waarborgen. Het-Groene-Huis garandeert je altijd een veilige manier van werken, conform de laatste regelgeving .  Wij informeren je hier in eerste instantie over GDPR en bieden je tijdig de nodige documenten aan. Deze documenten worden verwerkt in onze dienstverlening naar jou toe.  

Voor wie? 

Eenvoudig: voor elke onderneming die persoonsgegevens van EU-burgers verwerkt. Zij het in een mailing of website of betalingssysteem of database......

Wanneer is de GDPR van toepassing?

De nieuwe privacyverordening of GDPR vervangt de huidige richtlijn met betrekking tot privacy. Heeft je onderneming op dit ogenblik al te maken met nationale privacywetgeving, dan kan je ervan uitgaan dat ook de nieuwe verordening op jouw onderneming van toepassing is. Je verwerkt persoonsgegevens van EU-burgers, dan is de GDPR van toepassing. Echter, 'persoonsgegevens' worden in de GDPR zeer ruim opgevat. Het gaat niet alleen om gegevens waarmee men de klant rechstreeks kan identificeren (zoals e-mailadressen), maar net zozeer over gegevens waarmee men het individu onrechtstreeks kan identificeren, zoals locatiegegevens. Dat laatste is uiteraard van belang voor bedrijven die IP-adressen verzamelen of cookies gebruiken waarmee zij de bezoeker van hun website kunnen herkennen. Webmasters, online marketeers, social media gnoes.... should all be prepared. Heel wat bedrijven die online actief zijn en persoonsgegevens, in de zin van de GDPR, verwerken dus. 

Wat zijn mijn plichten?

De nieuwe privacyverordening verplicht ondernemingen om een transparant privacybeleid te voeren en om dit privacybeleid te kunnen verantwoorden. Accountability is het sleutelwoord. Dit geldt eigenlijk voor alles. Hoe groter je onderneming is en hoe meer gegevens zij verzamelt, hoe groter de verplichtingen zullen zijn en hoe meer verantwoording je moet kunnen afleggen. 

1. Transparantie

2. New: By design en By default

3. Melding van een datalek

4. Doorgifte gegevens

5. Sancties

De plichten onder de loupe

1. Transparantie

Transparantie moet er altijd zijn, in alles wat je doet. Je bent dit aan je klant verschuldigd. Echter in deze nog net iets meer. In de GDPR wordt veel belang gehecht aan de plicht van ondernemingen om zo transparant mogelijk te zijn over de verzamelde persoonsgegevens. De wetgeving vereist dat het data-subject (de persoon waarover gegevens verzameld worden) uitgebreid geïnformeerd wordt, en dit in een eenvoudige, toegankelijke en begrijpelijke taal. In het bijzonder moet de betrokkene op de hoogte zijn van de mate waarin en de doeleinden waarvoor zijn gegevens worden verwerkt. Ook is het van belang dat de rechten van de betrokkene uitdrukkelijk worden opgesomd en verklaard. De meest efficiënte manier waarop een onderneming aan deze informatieverplichting tegemoet kan komen, is door een privacyverklaring op te stellen en deze op haar website te plaatsen. In deze privacyverklaring moet volgende informatie zeker worden opgenomen:

De identiteit van de persoon die hun gegevens gaat verwerken:

Recht op inzage in de gegevens

Recht op correctie van de gegevens

Recht op vergetelheid

Recht op beperken van de verwerking

Recht op bezwaar tegen de verwerking

Recht op gegevensoverdracht

Om voorgaande rechten van de betrokkenen te garanderen is het verstandig om een register bij te houden waarin alles over de dataverzameling wordt georganiseerd en gedocumenteerd. Voor grote ondernemingen wordt het bijhouden van een register verplicht.

Dit register moet een antwoord bieden op volgende vragen:

1. Waarom is het verzamelen van deze persoonsgegevens noodzakelijk?

2. Waarom kan het niet anoniem?

3. Hoelang blijven de persoonsgegevens bewaard?

4. Hoe worden de gegevens anoniem?

2. By design en By default

Gegevensbescherming by design en by default zijn twee nieuwe termen die door de GDPR geïntroduceerd worden. Het komt er op neer dat je, bij de ontwikkeling van nieuwe producten, vanaf het prille begin de kernwaarden van privacy in acht neemt. Een voorbeeld hiervan is dataminimalisatie, nl het principe dat men enkel relevante persoonsgegevens mag vragen voor de gewenste verwerkingsdoeleinden. Het spreekt voor zich dat voor het afleveren van een voedsepakket thuis je niet de schoenmaat van de klant vraagt, bvb :-). Tegelijk moet je er ook voor zorgen dat wanneer iemand de keuze heeft om zelf te bepalen welke persoonsgegevens hij of zij wil delen, automatisch de meest privacyvriendelijke instellingen als standaard (default) ingesteld staan. 

Wanneer je een website bouwt, moet je er voor zorgen dat de algemene voorwaarden zo privacyvriendelijk mogelijk worden opgesteld. Als ondernemer kies je in dit opzicht best voor een 'opt-in' systeem. Dit is een systeem waarbij de betrokkene expliciet en aantoonbaar zijn toestemming geeft voorafgaand aan de verzameling en verwerking van de persoonsgegevens. Dit heeft de voorkeur op een 'opt-out' systeem waarbij de toestemming automatisch wordt gegeven en de betrokkene later het recht heeft om zijn of haar toestemming in te trekken.

3. Meding van een datalek

Als bedrijf kan je steeds preventieve maatregelen nemen. De kans blijft echter altijd bestaan dat er een datalek ontstaat als gevolg van een beveiligingsprobleem of door diefstal. Naast haar preventieve beleid moet een onderneming ook nadenken over een reactieve aanpak. Wanneer een datalek zich heeft voorgedaan bestaat er immers een meldplicht. 

Er moet in eerste instantie een melding gebeuren aan de Privacycommissie, en dit binnen de 72 uur nadat het datalek is ontdekt. Dit moet enkel wanneer het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Houdt het datalek mogelijks een hoog risico in voor de rechten en vrijheden van natuurlijke personen, moeten ook de betrokkenen zelf geïnformeerd worden. Dit moet zo snel mogelijk gebeuren en in duidelijke, eenvoudige taal. Uiteraard is de melding aan de betrokkene een delicate zaak die gevolgen kan meebrengen voor de reputatie van uw onderneming. Neem daarom steeds de nodige technische beschermingsmaatregelen om de persoonsgegevens te encrypteren of ontoegankelijk te maken.

4. Doorgifte gegevens

Een onderneming werkt vaak samen met of in opdracht van andere ondernemingen. Wanneer je bedrijf regelmatig persoonsgegevens uitwisselt met andere ondernemingen, dan hou je best een aantal zaken in het achterhoofd.

Eerst en vooral is het belangrijk dat je, met ondernemingen waaraan gegevens worden doorgegeven, een goede verwerkersovereenkomst sluit. In dergelijke overeenkomsten maak je afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen die zullen genomen worden, etc.... In de GDPR zijn er duidelijke richtlijnen terug te vinden over hoe dergelijke overeenkomsten moeten worden opgesteld. In het geval dat de onderneming waarmee je samenwerkt zich niet in België bevindt, dien je bovendien na te gaan of je partner een passend beschermingsniveau kan waarborgen. De lijst van derde landen die een passend beschermingsniveau waarborgen is te vinden op de website van de Europese Commissie. Kan je het betrokken land niet terugvinden op deze lijst, kan een passende bescherming toch gewaarborgd worden via een helder opgestelde verwerkingsovereenkomst. 

5. Sancties

De GDPR verleent de Belgische Privacycommissie de bevoegdheid om administratieve geldboetes op te leggen. Deze geldboetes kunnen behoorlijk oplopen. De maximum boete (bvb voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan de regels omtrent data-uitwisseling met niet EU-landen) is 20 miljoen € of 4% van de wereldwijde omzet. Je zou je voor minder aan de regels houden :-). 

De maximumboetes zullen uiteraard slechts opgelegd worden bij extreme overtredingen. Toch bepaalt de GDPR dat de Privacycommissie geldboetes moet opleggen die voldoende afschrikkend zijn. Het is met andere woorden niet de bedoeling dat men als kapitaalkrachtige onderneming de boete zomaar kan afkopen. Je bent gewaarschuwd. 

Wij danken deJuristen voor deze overzichtelijke info en partnership.