Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. De GDPR heeft tot doel de Europese regelgeving rond databescherming te moderniseren en in lijn te brengen met de diverse nieuwe technologische ontwikkelingen.

Privacy en bescherming van persoonsgegevens spelen immers steeds meer een belangrijkere rol binnen ondernemingen en organisaties. Vaak is het zo dat enorme hoeveelheden persoonsgegevens worden verwerkt binnen een onderneming. Dit brengt uiteraard een aantal verantwoordelijkheden en verplichtingen met zich mee.

Op heden werd privacy en gegevensbescherming vaak als iets bijkomstig beschouwd en werden de rechten van het individu waarvan persoonsgegevens werden verwerkt niet altijd toegepast zoals het hoorde.

Na de inwerkingtreding van de GDPR zal met deze rechten toch best rekening worden gehouden aangezien de autoriteiten meer slagkrant zullen krijgen tegen diegene die deze rechten met de voeten treden. De GDPR voorziet immers in boetes van 2 tot 4% van de wereldwijde jaaromzet.

Het is dan ook raadzaam nu reeds na te gaan welke impact de GDPR op uw onderneming of organisatie kan hebben zodat u de gepaste maatregelen kunt nemen en geen risico hoeft te lopen.

BASISPRINCIPES

1. Doel

De GDPR (General Data Protection Regulation) bevat regelgeving voor iedereen die in Europa persoonsgegevens verwerkt, opslaat, verzamelt of op eender welke manier gebruikt.  De regelgeving wordt van kracht op 25 mei 2018.

Concreet heeft de GDPR als doel dat u als ondernemer of organisatie zich ervan moet bewust zijn welke persoonsgegevens er binnen uw organisatie worden verwerkt. Worden er gevoelige persoonsgegevens verwerkt, dan zal u als organisatie moeten voldoen aan specifieke voorwaarden.

2. Basisrechten van de Betrokkene

Bovendien dienen een aantal fundamentele rechten ten aanzien van de personen van wie u persoonsgegevens verwerkt (de Betrokkene) te worden gewaarborgd. Deze te waarborgen rechten houden onder meer in dat :

• U over de toestemming van de betrokkene dient te beschikken om diens persoonsgegevens te verwerken;
• De betrokkene op een eenvoudige manier bij u toegang moet kunnen verkrijgen tot die gegevens die u over hem hebt verwerkt;
• U de betrokkene de mogelijkheid moet geven om bezwaar te maken
• De betrokkene het recht zal hebben om zijn gegevens volledig te laten wissen;
• De betrokkene u moet kunnen vragen om zijn gegevens te laten transfereren naar andere organisaties.

3. Dataregister

Teneinde een duidelijk zicht te hebben op de diverse verwerkingsactiviteiten binnen uw organisatie en de daaraan verbonden risico’s, is het raadzaam een dataregister aan te leggen. Ondernemingen met meer dan 250 werknemers zijn in ieder geval verplicht dergelijk register bij te houden. De Belgische Privacycommissie heeft onlangs een model voor dergelijk dataregister gepubliceerd. Een link naar dit model vindt u eveneens bij onze nuttige links.

4. Rechtmatige en transparante verwerking

De verwerking van persoonsgegevens dient steeds rechtmatig te zijn en het moet voor de Betrokkene duidelijk zijn waarom en waarvoor zijn gegevens worden verwerkt. Hierbij mag slechts worden verwerkt wat noodzakelijk is in een vorm die het minste impact heeft voor de Betrokkene.

De persoonsgegevens moeten worden verwerkt volgens welbepaalde, uitdrukkelijk omschreven en gerechtsvaardigde doeleinden. De persoonsgegevens mogen daarbij niet verder worden verwerkt op een manier die hiermee onverenigbaar zou zijn. Bovendien dient de verwerking ook beperkt te zijn in de tijd.

5. Beveiliging

De gegevens dienen te worden verwerkt met een afdoend veiligheidsniveau waarbij u als organisatie passende, technische en organisatorische maatregelen zal dienen te nemen.
 

Organisatorisch zal dit voor elke organisatie betekenen dat een analyse zal dienen te worden gemaakt van de aanwezige bedrijfsprocessen, documentatie, policies en procedures.
Ook op technisch vlak zullen zowel de aanwezige hardware, software, gedragscodes en certificiëringsmechanismen voldoende veilig moeten zijn.  

6. Data Breaches

De GDPR schrijft ook een aantal regels voor bij Datalekken. Zo stelt elke organisatie best een voorafgaand “Incident Response Plan” en dienen passende acties te worden ondernomen teneinde de impact van een datalek zoveel als mogelijk binnen de perken te houden.

Als organisatie heeft u bij een datalek ook een meldingsplicht binnen de 72u.

7. Data Protection Officer

De functie van Data Protection Officer is eveneens iets nieuws dat door de GDPR geïntroduceerd wordt. Sommige organisatie zullen, in functie van hun activiteiten, verplicht zijn een Data Protection Officer aan te stellen als aanspreekpunt voor de correcte toepassing van de regelgeving.

Deze persoon kan zowel intern als extern worden aangeduid bij elke organisatie.

8. Documentatieverplichting

Onder deze verplichting wordt in de GDPR begrepen dat u als organisatie niet alleen de passende technische en organisatorische maatregelen dient te nemen om te voldoen aan de GDPR maar eveneens moet kunnen aantonen dat de gegevensverwerking binnen uw organisatie gebeurd volgens de GDPR en u, waar nodig de nodige aanpassingen en updates hebt doorgevoerd.

9. Hoge boetes bij inbreuk

Ten gevolge van de GDPR krijgen toezichthoudende autoriteiten, waaronder de Privacycommissie voor België, meer bevoegdheden en kunnen zij administratieve geldboetes opleggen aan diegene die inbreuk maken op de GDPR. Deze boetes kunnen hoog oplopen en kunnen, naar gelang de inbreuk tot 10.000.000 à 20.000.000 EUR of 2% à 4% van de totale wereldwijde jaaromzet van uw onderneming bedragen.

Deze hoge boetes zijn de maximale bedragen. Ze zijn vooral ingegeven om af te schrikken maar ook om ervoor te zorgen dat kapitaalkrachtige ondernemingen niet zomaar hun inbreuken zouden ‘afkopen’.