U heeft ongetwijfeld ook reeds gehoord over de fameuze GDPR regelgeving en vraagt zich misschien af of ook u hiervoor iets in orde moet brengen ?

Wat is GDPR ?

Het is een geheel van regels om de persoonsgegevens van Europese burgers beter te beschermen.

De regelgeving treedt in werking op 25 mei 2018 en op die dag moeten ondernemingen ook kunnen aantonen dat zij alles in het werk stellen om te voldoen aan de regelgeving. 

De huidige voorzitter van de Privacycommissie verklaarde recent wel nog dat het zeker niet de bedoeling is dat er vanaf 25 mei een heksenjacht zal komen op zelfstandigen, KMO’s en vrije beroepers. Wij adviseren u om u in orde te stellen met de GDPR regels zonder u evenwel te laten afschrikken en/of te laten verleiden door allerhande (soms dure) voorstellen tot regularisatie (zie ook verder). 

Elke onderneming moet kunnen aantonen:

- welke persoonsgegevens hij verzamelt

- hoe hij die gegevens gebruikt en beheert

- welke maatregelen genomen worden om die gegevens te beschermen.

Dit geldt voor elk type onderneming: van éénmanszaken tot multinationals.

Als je persoonsgegevens verwerkt, moet je een register met een aantal gegevens bijhouden: waarvoor verwerk je persoonsgegevens, termijn waarbinnen gegevens worden gewist, categorieën van persoonsgegevens, categorieën van ontvangers, beveiligingsmaatregelen etc. 

Wat zijn persoonsgegevens?

Persoonsgegevens zijn elke vorm van informatie die kan worden gekoppeld aan een individu en betrekking heeft op zijn persoonlijk, professioneel of publiek leven: een naam, e-mailadres, foto, medische gegevens, financiële gegevens, IP-adres, etc.

Een excell file waarin je al je bestellingen noteert, een database met klantengegevens, een lijst met e-mailadressen voor de mailings… zijn voorbeelden van containers met persoonsgegevens.

Wat zijn de vier pijlers van GDPR?

1. Recht om vergeten te worden

Elke persoon heeft het recht, onder bepaalde voorwaarden, te eisen dat u de persoonlijke data waarover u beschikt, wist. Andere  wetten die u verplichten bepaalde data te bewaren gaan voor op deze regel.

2. Transparantie

Burgers moeten op een eenvoudige en begrijpelijke manier geïnformeerd worden over hoe hun data verzameld en verwerkt wordt. Er zal een privacypolicy moeten zijn. Er moet gebruik gemaakt worden van duidelijke en eenvoudige taal om deze transparantie te garanderen. De privacyverklaring moet alvast volgende gegevens bevatten: de wettelijke grondslag voor de gegevensverwerking, de bewaringstermijnen, of je gegevens uitwisselt en de mogelijkheid voor de betrokkene om een klacht in te dienen bij de Privacycommissie.
Men moet ook toegang krijgen tot de persoonsgegevens en de mogelijkheid hebben om deze data aan te passen of te verwijderen. Een toegangsverzoek moet binnen de 30 dagen worden beantwoord.

3. Meldingsplicht

Ondernemingen moeten een datalek binnen de 72 uur melden aan de autoriteiten, tenzij dit lek geen gevaar betekent voor de persoonsgegevens. Daarnaast moet je een datalek ook binnen de 72u melden aan ‘het slachtoffer’ of de betrokkene als je zelf van mening bent dat er een groot risico is voor zijn recht op privacy.
Voorbeelden van datalekken zijn een hacking, verlies laptop/USB met persoonsgegevens...

4. Toestemming

Je moet een gegronde reden hebben om persoonsgegevens te verzamelen / verwerken. Dit kan zijn:

- Toestemming van de betrokken persoon: er is dan een actieve instemming vereist van de betrokken persoon. De toestemming moet op een vrije, geïnformeerde, ondubbelzinnige en specifieke manier geformuleerd zijn en je moet kunnen bewijzen dat je de toestemming hebt verkregen.

- Je verzamelt gegevens voor de uitvoering van een overeenkomst (bvb. personeelsgegevens op basis van de arbeidsovereenkomst)

- je verzamelt gegevens omdat je er wettelijk toe verplicht bent (bvb. de boekhouder op basis van de Anti-witwaswetgeving). 

Indien informatie wordt bijgehouden over kinderen jonger dan 16 jaar is hiervoor toestemming van de ouders vereist.

Wat als ik niet in orde ben met de GDPR ?

De boetes kunnen oplopen tot 20.000.000 euro of tot 4% van de jaaromzet. Het zal na de inwerkingtreding van de GDPR nog moeten blijken hoe streng de Privacycommissie (vanaf mei de Gegevensbeschermingsautoriteit) zal controleren en eventueel bestraffen. In ieder geval zal de nadruk eerst liggen op preventie en sensibilisering.

Wat is een DPO en moet ik er een aanstellen?

Een Data Protection Officer kijkt erop toe dat het bedrijf de data bewaart en verwerkt volgens de regels van de GDPR. Niet elke onderneming moet een DPO aanstellen. Er zijn een aantal voorwaarden aan verbonden. Bedrijven die voldoen aan de volgende criteria zijn verplicht om een DPO in dienst te nemen:

- Publieke autoriteit of overheidsinstantie
- Het bedrijf doet op grote schaal verwerkingen waarbij personen geobserveerd worden (bv. bewakingscamera's in openbare ruimten of het online tracken van personen)
- De organisatie verwerkt grootschalig bijzondere categorieën van gegevens of gegevens met betrekking tot strafrechtelijke feiten

Hoe kan ik GDPR invoeren in mijn onderneming?

De privacycommissie heeft een 13-stappenplan opgesteld dat je helpt om je voor te bereiden op de GDPR. 

Wat er precies nodig is verschilt van bedrijf tot bedrijf.

• Is uw onderneming heel actief bezig met direct marketing, profiling en big data, dan kan je je best laten bijstaan door een expert. Er zijn dan immers strengere regels van toepassing. 

• Andere ondernemingen: hier biedt Unizo bvb. de mogelijkheid om u gratis in regel te stellen met de nieuwe regels door het ter beschikking stellen van een GDPR-tool, een model van verwerkingsregister, en een model van privacyverklaring dat u kosteloos kunt downloaden via de website van Unizo. Uiteraard kunt u er in dit geval ook voor opteren om u te laten bijstaan door een expert in deze materie. Indien u dit wenst kunnen wij u coördinaten aanreiken van partijen die zich hierop toeleggen.