Bent u klaar voor de GDPR?

Categorie Europa
Bent u klaar voor de GDPR?

Op 14 april 2016 werden in het Europees parlement de nieuwe regels gestemd aangaande het omgaan met en de bescherming van privé- of persoonsgegevens. Het gaat om de zogenoemde General Data Protection Regulation, of de ‘GDPR’. Aangezien het gaat om een Europese verordening zal de GDPR van toepassing zijn in alle Europese lidstaten. Al de nationale wetgevingen omtrent privacy zullen tegen 25 mei 2018 vervangen worden door de GDPR, die aan de Privacy Commissie meer bevoegdheden zal geven om controles uit te voeren en instanties, ondernemingen of personen te sanctioneren, mochten zij zich niet in regel stellen.

Hoewel deze nieuw privacywetgeving pas in mei 2018 officieel van kracht wordt, kan u het best nu al de nodige (voorzorg)maatregelen treffen. Iedereen die persoonsgegevens bijhoudt of verwerkt van klanten, contractspartijen, leveranciers,... moet zich aan de nieuwe regels conformeren. Of u nu een groot bedrijf hebt of een kleine (pas opgestarte) eenmanszaak: niemand ontsnapt aan de GDPR.

1. HOE MOET U PERSOONSGEGEVENS VANAF MEI 2018 BIJHOUDEN?

Het verzamelen van persoonsgegevens kan niet iedereen zomaar doen. Dat was onder de vorige/nog geldende wetgeving ook wel al zo, maar het wordt onder de GDPR allemaal wat strikter en strenger.

a. (Welke) persoonsgegevens?

Het gaat om elke vorm van informatie die (on)rechtstreeks naar een natuurlijke persoon kan leiden. Dat is heel breed. Niet alleen de (persoons)gegevens die u op papier hebt staan, maar ook de digitale gegevens van een klant (denk bijvoorbeeld maar aan zijn/haar IP-adres, gebruikersnamen,...), beeld- en klankmateriaal, locatiegegevens, social media gegevens, gegevens over de betrokkene zijn medische geschiedenis, zijn (politieke) voorkeuren, zijn lidmaatschap bij een vakbond, zijn kredietwaardigheid,...

De GDPR viseert trouwens persoonsgegevens. Alle data van rechtspersonen die u in uw systeem hebt staan, vallen hier dus niet onder. Aan te stippen valt ook dat het niet alleen om gegevens van uw klanten gaat, maar ook om gegevens die u verzamelt van uw leveranciers, personeel,... Kortom, van zodra u persoonsgegevens in de meest ruime betekenis bijhoudt (hoe klein uw databank ook is of hoe weinig u ook bijhoudt), valt u onder de GDPR.

b. Toestemming van de klant om de persoonsgegevens te verwerken

Vanaf mei 2018 hebt u een weloverwogen toestemming nodig om de persoonlijke gegevens van de klant te gebruiken. Dat wil zeggen dat u op geen enkele wijze en voor geen enkel doel aan verwerking van persoonsgegevens mag doen, zonder dat de individuele klant daarvan op de hoogte is en daarmee uitdrukkelijk heeft ingestemd. Die toestemming moet vrijwillig, onmiskenbaar, actief, geïnformeerd en voor elk specifiek, individueel doel worden gegeven.
Die verplichting geldt ongeacht of de gegevens rechtstreeks van de klant komen of onrechtstreeks werden verkregen.
Om de gegevens van minderjarigen (jonger dan 16 jaar) te verzamelen, hebt u de toestemming van ouders of voogd nodig. Uw privacyverklaring moet dus ook begrijpelijk opgesteld worden voor minderjarigen.
Ten slotte moet u er ook nog rekening mee houden dat de instemming door de klant gewoon kan ingetrokken worden.

c. Verwerken?

Iedere al dan niet (geheel of gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens wordt geviseerd door de GDPR. Het ‘verwerken’ moet u opnieuw erg breed interpreteren. Het gaat om de verzameling, de bewaring, de ordening, de aanpassing, het gebruik, de consultering, de verspreiding, het samenbrengen en met elkaar in verband brengen, het wissen, afschermen, vernietigen... van gegevens. U mag er gerust van uitgaan dat, indien er iets gebeurt met de gegevens, u zal onderworpen zijn aan de GDPR.

d. Rechten van de betrokkenen m.b.t. de persoonsgegevens

Nadat de toestemming werd gegeven, heeft de persoon van wie u de gegevens bijhoudt een heel aantal rechten die u moet respecteren. Zo is er in eerste instantie het recht op informatie en om toegang te krijgen tot de bijgehouden persoonsgegevens. De persoon van wie u gegevens bijhoudt, heeft het recht om bijkomende informatie te ontvangen over o.a.:

• de bron van de persoonsgegevens
• de verwerkingsinformatie (wie zijn de ontvangers van de informatie, waar wordt de data verwerkt, wat is het doel van de verwerking,...)
• de termijnen gedurende dewelke u informatie bijhoudt
• de beoogde gevolgen van de verwerking
• de bevestiging of het gaat om een geautomatiseerde verwerking van de gegevens

U moet een gratis kopie verstrekken van de verwerkte persoonsgegevens en dat in principe uiterlijk vier weken na het verzoek.

Indien men merkt dat er bepaalde informatie foutief of onvolledig werd opgeslagen, kan men u verzoeken om de gegevens te verbeteren of te vervolledigen. U moet in principe binnen de maand op dit verzoek reageren. U moet ook derden, aan wie deze gegevens werden bezorgd, hierover informeren en aan de betrokkene meedelen aan welke derden de persoonsgegevens werden doorgestuurd. Daarnaast kan men u vragen om de gegevensverwerking te beperken.

Tenzij wettelijk bepaald of indien het noodzakelijk is voor de uitvoering van de overeenkomst en indien men ernstige en gerechtvaardigde redenen kan doen gelden, kan de persoon van wie u gegevens bijhoudt zich verzetten tegen een (geautomatiseerde) verwerking van zijn gegevens. Houdt u bijvoorbeeld gegevens bij in functie van direct marketing, dan kan de betrokken persoon zich zelfs kosteloos en zonder verantwoording tegen de verwerking van zijn gegevens verzetten. Dat recht moet uitdrukkelijk opgenomen zijn in de privacy policy van uw bedrijf. Direct marketing slaat op een vorm van marketing waarbij een bedrijf rechtsreeks individuele (potentiële) klanten benadert.

Verder zijn er ook nog regels rond profilering van klanten/prospecten, in die zin dat men zich kan verzetten tegen elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij bepaalde aspecten van een natuurlijke persoon worden geëvalueerd met de bedoeling om zijn/haar beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

Daarnaast is er het recht om onmiddellijk verwijderd te worden of zelfs vergeten te worden, al geldt dat slechts voor een specifiek aantal gevallen (zoals bijv. wanneer de data illegaal werden verwerkt). U moet met andere woorden in staat zijn om op eenvoudig verzoek alle gegevens van de betrokken klant te verwijderen. Het recht om vergeten te worden vereist van u dat u al het redelijke moet doen om partijen aan wie u de gegevens hebt doorgegeven ertoe aan te zetten om verwijzingen naar of koppies van die persoonsgegevens te wissen. Als onderneming moet u er zeker van zijn dat, wanneer men hierom verzoekt, de persoonsgegevens op een correcte en efficiënte manier worden verwijderd. Er werd wel voorzien in de mogelijkheid om in een aantal gevallen de vraag tot verwijdering te weigeren.

Nieuw is ten slotte dat de persoon van wie u gegevens bijhoudt het recht heeft om zijn of haar persoonsgegevens te laten overdragen aan een andere verwerker. De gegevens moeten gratis worden overgedragen, in principe opnieuw binnen een tijdspanne van vier weken, in een gestructureerde, gangbare en leesbare vorm. Dat kan enkel voor gegevens die de betrokken persoon heeft verstrekt gebaseerd op toestemming of na overeenkomst.

2. WELKE ACTIES MOET U (MOGELIJK) ONDERNEMEN BINNEN UW BEDRIJF?

Het zal een hele aanpassing van uw systeem vragen om de rechten van diegene wiens gegevens u bijhoudt te vrijwaren. Daarom zal u binnen uw onderneming een aantal aanpassingen moeten doorvoeren.
Vooreerst zal ieder bedrijf dat persoonsgegevens verwerkt een register voor verwerkingsactiviteiten moeten bijhouden. Iedere verwerking die gebeurt of die de betrokkene van u verlangt om door te voeren (cfr. rechten hierboven uiteengezet), zal u moeten bijhouden in een bestand.

De GDPR bepaalt verder dat, bij verlies of diefstal van gegevens, de overheid en de betrokken personen in principe onverwijld (en alleszins binnen de 72 uur) verwittigd moeten worden. 

Voorts moet er in welbepaalde gevallen een DPO (Data Protection Officer) aangesteld worden. Die functie kan bekleed worden zowel door een werknemer als een externe consultant. Aangezien deze verplichting geldt bij gegevensverwerking op grote schaal zal een kmo hier in principe niet mee te maken krijgen.

Tot slot is er ook nog de DPIA (Data Protection Impact Assessment), wat inhoudt dat u als ondernemer in de spiegel moet kijken en analyseren hoe u met data omgaat en welke risico’s op verlies of diefstal van data u loopt. Op basis van de bevindingen van die veiligheidsaudit moet er dan een actieplan opgezet worden om risico’s te beperken. Opnieuw gaat het om een verplichting waar maar weinig kmo’s mee in aanraking zullen komen. Enkel als er aan gegevensverwerking op grote schaal wordt gedaan, moet er een DPIA opgemaakt worden.

deel dit