Waarom is de GDPR van belang voor ondernemers ?

Toegegeven, de meeste rechten die de GDPR – AVG met zich meebrengt, zijn niet nieuw en waren vroeger al geïmplementeerd via wetgeving of rechtspraak.
(De Belgische Privacywet van 08.12.1992 (B.S. 18.03.1993), De Europese Privacyrichtlijn van 24.10.1995 (95/46/EG), De Europese e-Privacyrichtlijn van 12.07.2002 (2002/58/EG), De Telecommunicatiewet van 13.06.2005 (B.S. 20.06.2005), Het Wetboek Economisch Recht, De Belgische Camerawet van 21.03.2007, Arbeidswetgeving en privacygerelateerde Cao’s (cao nr. 38, 39, 68, 81 en 89).

De handhaving van deze rechten, was echter problematisch aangezien er geen sancties aan verbonden waren.

De GDPR biedt evenwel een gans scala aan sancties en maatregelen:

  • Zware sancties die oplopen tot 20.000.000 € of 4% van de wereldwijde omzet;
  • Omkering bewijslast;
  • Mogelijkheid tot het instellen van collectieve vorderingen;
  • Krachtdadige toezichthoudende overheidsinstanties per lidstaat – Data Protection Authority (Privacycommissie);
  • Accountability – Verantwoordingsplicht;
  • U dient te kunnen aantonen dat u de nodige maatregelen getroffen heeft om de verwerking te laten gebeuren conform de GDPR – AVG.

Moet ik mij zorgen maken over de sancties ?

Ja, ik moet mij zorgen maken over de sancties, maar hoef niet paniekerig te doen!

Grote ondernemingen en multinationals zullen als eerste geviseerd worden, doch dit impliceert niet dat u als KMO tussen de mazen van het net kunt glippen.

Vanaf het moment dat er iemand een klacht indient ten aanzien van uw onderneming, is de Privacycommissie verplicht om dit te gaan onderzoeken.

Mocht dan blijken dat u niet voldoet aan de dwingende vereisten van de GDPR, dan riskeert u evenzeer de sancties.

De GDPR zal vanaf 25.05.2018 een bijkomend instrument zijn dat gebruikt of misbruikt kan worden in het kader van eender welke juridisch geschil dit uw onderneming kan hebben met klanten, leveranciers, personeel e.d.m.

Het is dus ten zeerste aan te raden om u op voorhand de gepaste maatregelen te nemen.

Welke verplichtingen heb ik als onderneming ?

Eerst en vooral zijn er de twee nieuwe kernbegrippen waarmee u rekening dient te houden, zijnde “Privacy by default” en “Privacy by design”.

Privacy by default

  • U dient als onderneming interne beleidsmaatregelen te treffen zodat de verwerking van persoonsgegevens zoveel mogelijk geminimaliseerd wordt.
  • Volgens dit begrip dient u ook zoveel mogelijk te streven naar de pseudonimisering van deze gegevens.
  • Voorts dient uw onderneming transparant te zijn over de functies en verwerking van de persoonsgegevens. De betrokken natuurlijk persoon dient zelfs een controlemogelijkheid te krijgen over deze verwerking.

Privacy by design

  • Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens of die persoonsgegevens verwerken bij die opdracht, dient u in elke stand van het proces er op toe te zien dat er kan voldaan zijn aan de verplichtingen van de gegevensbescherming.
  • Dit principe is evenwel niet absoluut. U mag als onderneming rekening houden met de stand van de techniek, de kosten, de aard, de omvang, de context en het doel van de verwerking, alsmede de waarschijnlijkheid en ernstig van de risico’s voor de rechten en vrijheden van de natuurlijke personen.

De 6 basisbeginselen van verwerking van persoonsgegevens zijn:

  • Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (rechtmatigheid, behoorlijkheid en transparantie);
  • Persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (doelbinding);
  • Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking);
  • Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten genomen worden om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te verbeteren (juistheid);
  • Persoonsgegevens mogen niet langer worden bewaard – in een vorm die het mogelijk maakt de betrokkenen te identificeren – dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt (opslagbeperking);
  • Door het nemen van een passende technische of organisatorische maatregelen moet een passende beveiliging van persoonsgegevens worden gewaarborgd, zodat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid).

U bent als KMO wettelijk aansprakelijk voor de naleving van deze beginselen en u moet dit op elk moment kunnen aantonen (verantwoordingsplicht - accountability)

Wat zijn de andere wettelijke verplichtingen i.f.v. GDPR?

  • Informatieverplichting
  • Bijhouden van een register van verwerkingsactiviteiten
  • Rechten van betrokkenen respecteren
  • Beveiliging en melding van gegevenslekken
  • Contracten met “verwerkers”
  • Privacy Impact Assessments (PIA) – Gegevensbeschermingseffectbeoordeling (GEB)
  • Een verplicht rapport voor nieuwe gegevensverwerkingen met een waarschijnlijk hoog risico voor de rechten en vrijheden van natuurlijke personen.
  • De PIA moet worden uitgevoerd voor de aanvang van een nieuwe verwerkingsactiviteit (cfr. Privacy by Design) en is een continu proces.
  • Aanstellen van een Data Protection Officer (DPO)

Heb ik een Data Protection Officer (DPO) of Functionaris voor Gegevensbescherming nodig ?

Dit is niet altijd verplicht, alleen Overheidsinstanties hebben verplicht een DPO nodig.

Evenwel dienen ook kleinere bedrijven een DPO aan te stellen indien:

Men hoofdzakelijk belast is met verwerkingen vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van natuurlijke personen vereisen;

Deze kunnen van toepassing zijn op:

  • Telecommunicatiediensten
  • Gepersonaliseerde marketing
  • Profiling met het oog op risicoanalyses (om verzekeringspremies te bepalen, fraudepreventie, opsporing van witwaspraktijken, …)

De verwerking op grote schaal van bijzonder gevoelige categorieën van gegevens of strafrechtelijke gegevens en strafbare feiten

Deze kunnen van toepassing zijn op:

  • De verwerking van gezondheidsgegevens in ziekenhuizen;
  • Veiligheidsdiensten;
  • De gegevensverwerking bij uitzendkantoren, sociaal secretariaten en onderwijsinstellingen.

De selectie van een DPO vereist wel de combinatie van juridische kennis, commerciële ervaring en een IT-technische kundigheid.

Er mag geen sprake zijn van belangenvermenging. Dit impliceert dat de DPO geen functie binnen de onderneming mag vervullen die hem ertoe noopt de doeleinden en de middelen van de verwerking te bepalen. Evenmin kan hij diegene zijn die verwerkingen verricht.

Zijn derhalve in geen geval verenigbaar met de functie van DPO:

  • Directieposten
  • Verantwoordelijke voor de sales of marketing
  • IT-verantwoordelijke
  • HR-verantwoordelijke