De GDPR uitgebreid toegelicht

Vanaf 25 mei 2018 moet elke onderneming of organisatie die persoonlijke gegevens van burgers verwerkt zich houden aan de nieuwe Europese regels die betrekking hebben op de bescherming van de persoonsgegevens, beter bekend als de GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming).

In dit artikel gaan we uitgebreid in op de regelgeving en wat er van u, als ondernemer, wordt verwacht.

Nieuwe regelgeving?

In België is sinds 8 december 1992 de “wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens” van kracht. Heel wat van de bepalingen uit de GDPR zijn al in deze wet terug te vinden.

Het grote verschil is dat de GDPR een Europese wetgeving is en dat er ook zware sancties verbonden zijn aan het niet naleven van de regels. Tot nu had de Privacycommissie, die toezicht moest houden op de privacywet uit 1992, weinig slagkracht. Met de komst van de GDPR-wetgeving verandert dit. Verderop in dit artikel komen we nog terug op de sancties die de Privacycommissie kan opleggen wanneer de GDPR niet wordt nageleefd.

Waarover gaat het?

De GDPR bevat een aantal bepalingen en regels die van toepassing zijn wanneer ondernemingen of organisaties persoonsgegevens opslaan, verwerken, verzamelen of op een andere manier gebruiken.

Dit wordt ruim gezien. Zodra het mogelijk is om natuurlijke personen direct of indirect te identificeren aan de hand van bepaalde gegevens, dan is er sprake van persoonsgegevens. Verzamelt uw onderneming namen, adressen, e-mailadressen, telefoonnummers, bankrekeningnummers, IP-adressen, gebruikersnamen, rijksregisternummers, foto’s, locatiegegevens, zoekgeschiedenissen, … , van natuurlijke personen, dan verwerkt u persoonsgegevens en valt u onder de GDPR-wetgeving.

Voor alle duidelijkheid: het is toegestaan om persoonsgegevens van burgers te verwerken als:

  • Het verzamelen van de informatie noodzakelijk is voor de uitvoering van een overeenkomst. (Vb.: In het kader van de loonadministratie.)
  • Het bijhouden van informatie wettelijk verplicht is. (Vb.: Een accountant is verplicht om de identiteitsgegevens van zijn klanten bij te houden.)
  • De betrokken persoon vrije toestemming geeft. (Vb.: Door het aanvinken van een verklaring op een formulier kan iemand toestemming geven om gegevens te verwerken.)

In principe mogen gevoelige gegevens zoals  etnische afkomst, politieke opvatting, seksuele geaardheid, strafrechtelijke veroordelingen, …, niet bijgehouden worden.

De GDPR geeft ook bepaalde rechten aan de personen van wie de gegevens opgeslagen worden.

De persoon van wie u gegevens opslaat kan op elk moment toegang vragen tot zijn of haar verwerkte gegevens. Hij of zij moet ook bezwaar kunnen maken. Daarenboven heeft elke persoon ook het recht om zijn gegevens volledig te laten wissen, het zogenaamde “recht om vergeten te worden”. Daarbij wordt wel een uitzondering gemaakt voor de gevallen waarbij de onderneming wettelijk verplicht is om de persoonsgegevens bij te houden.

Welke verplichtingen brengt dit met zich mee?

  1. De verwerkte persoonsgegevens moeten op een degelijke manier beveiligd worden.
  2. Er dient een dataregister bijgehouden te worden.
  3. In bepaalde gevallen dient er een Data Protection Officer (DPO) aangesteld te worden.
  4. Als uw systemen gehackt worden of er worden data gelekt, dan dient u de Privacycommissie te verwittigen.
  5. U dient bepaalde procedures op te stellen.

1/ Beveiliging van de gegevens

U dient het nodige te doen om de persoonsgegeven die u bijhoudt op een adequate manier te beschermen.

Op technisch vlak dient u er voor te zorgen dat de persoonsgegevens voldoende afgeschermd worden voor de buitenwereld. Denk daarbij onder andere aan een goede virusscanner, een degelijke firewall en het regelmatig updaten van de software. Maak ook regelmatig back-ups van uw gegevens.

Daarnaast is er ook het menselijke aspect. Verandert u op regelmatige basis de inloggegevens en paswoorden van de diverse toepassingen? Zijn uw paswoorden niet te eenvoudig? Wie heeft toegang tot de paswoorden? Schrijf hiervoor de nodige procedures uit en maak ook personeelsleden en medewerkers bewust van deze problematiek.

2/ Het dataregister

Als u aan de GDPR onderworpen bent dient u ook een register van de verwerkte gegevens bij te houden. Hoewel in theorie ondernemingen met minder dan 250 werknemers vrijgesteld zijn van deze nieuwe verplichting, vallen de meeste ondernemingen, hoe groot of klein ze ook zijn, onder alle andere verplichtingen waardoor ze toch een register dienen bij te houden.

In dat register vermeldt u de gegevens van uw onderneming en de interne contactpersoon, de verschillende categorieën gegevens die u bijhoudt, de reden waarom u die gegevens bijhoudt, de bewaartermijn en de maatregelen die zijn genomen om deze te beveiligen.

3/ De Data Protection Officer (DPO)

Bepaalde ondernemingen of entiteiten zijn verplicht om een gegevensbeschermingsfunctionaris of data protection officer (DPO) aan te stellen:

  • Publieke instellingen en overheden
  • Ondernemingen die systematisch en op grote schaal data verwerken
  • Ondernemingen die specifieke datacategorieën verzamelen (Vb. gezondheidsgegevens)

4/ Datalekken melden

Een datalek wordt als volgt gedefinieerd:

“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

Uit de definitie volgt dat een verkeerd geadresseerde mail of een verloren USB-stick met klantengegevens al als datalek gezien worden.

U moet binnen de 72 uur nadat u een datalek heeft vastgesteld mogelijk 2 meldingen verrichten:

Melding bij de Privacycommissie

De Privacycommissie moet op de hoogte gebracht worden als er sprake is van een datalek “met mogelijke risico’s voor het betrokken individu”. Deze risico’s dient u zelf in te schatten.

Melding bij de personen van wie de gegevens gelekt zijn

De personen van wie de gegevens gelekt zijn moeten op de hoogte gesteld worden als er een hoog risico is voor de rechten en de vrijheid van het individu.

In bepaalde gevallen moeten de personen van wie de gegevens gelekt zijn niet op de hoogte gebracht worden:

  • Als de persoonlijke data versleuteld zijn of op een andere manier beschermd worden
  • Als er maatregelen genomen zijn waardoor de kans op schadelijke gevolgen niet waarschijnlijk is
  • Als het disproportioneel veel moeite kost om ieder persoon waarvan data gelekt zijn individueel op de hoogte te stellen. In dergelijke geval kan een publieke verklaring uitkomst bieden.

De melding moet een omschrijving van het datalek bevatten (waaronder het aantal personen en/of het aantal records), de contactgegevens van de verantwoordelijke binnen de onderneming, de mogelijke gevolgen van het datalek en de maatregelen die genomen zullen worden om de maatregelen te beperken.

5/ Opstellen procedures

Stel de nodige procedures en verklaringen op:

  • Privacyverklaring: Maak een privacyverklaring op en stel deze beschikbaar op uw site.
  • Procedure opvragen gegevens door klant: Zorg voor een transparante procedure waardoor u snel kan reageren op vragen van klanten (vb. het wissen van klantgegevens)
  • Procedure datalek: Maak een procedure die u kan volgen wanneer er zich een datalek zou voordoen.

Boetes

Leeft u de GDPR-bepalingen niet na, dan riskeert u zware boetes. Voor gewone inbreuken riskeert u tot 2% van uw laatste jaaromzet te moeten betalen. Voor zware inbreuken is dit 4% van de laatste jaaromzet, met een maximum van 20 miljoen euro.

We hebben eveneens vernomen dat de overheid bij het toekennen van opdrachten zal nagaan of uw onderneming wel de GDPR-bepalingen volgt.

Reden te meer dus om u in orde te stellen met deze nieuwe wetgeving.

Praktische uitwerking

Hoe kan u uw onderneming nu in overeenstemming brengen met de GDPR-bepalingen?

Online vindt u stappenplannen die u kan doorlopen. De Privacycommissie heeft zelf een brochure uitgewerkt met de nodige toelichting. Ook andere organisaties en adviseurs plaatsen regelmatig praktische tips online. Op het einde van dit artikel vindt u enkele nuttige links terug.

Vanzelfsprekend zal de aanpak van een multinational grondig verschillen van de aanpak bij een KMO. Waar bij grote ondernemingen en organisaties verschillende afdelingen moeten samenwerken (Management, HR, IT, …), zal het bij KMO’s hoofdzakelijk de zaakvoerder zijn die alles zal coördineren.

Hieronder vindt u enkele stappen die zeker genomen moeten worden:

  • Start met het in kaart brengen van de werking van uw onderneming en de systemen die u daarbij gebruikt. Waar houdt u persoonsgegevens bij? Zowel op papier als digitaal? Welke software gebruikt u?
  • Maak van de gelegenheid ook gebruik om de beveiliging van uw digitale omgeving onder de loep te nemen. Wie heeft toegang tot wat? Worden de paswoorden van de verschillende systemen regelmatig gewijzigd? Waar is ruimte voor verbetering of modernisering? Waar nodig brengt u de nodige aanpassingen en verbeteringen aan.
  • Kijk om een dataregister te implementeren zodat u de verwerking van persoonsgegevens kan registreren.
  • Controleer uw bestaande contracten met uw softwareleveranciers. Ga na of zij zich aan de GDPR-bepalingen houden. Het is namelijk niet zo dat als u gegevens bij derden en/of in de cloud bewaart, u niet meer aansprakelijk bent voor deze gegevens.
  • Ga na in welke omstandigheden u toestemming dient te vragen aan personen om hun persoonlijke informatie te verwerken. Dit gaat ruim. Als u bv. op uw website een contactformulier aanbiedt, kan u best een aanvinkvak toevoegen waarbij de contactnemer u toestemming geeft om zijn gegevens te verwerken.
  • Stel de nodige procedures op.
  • Informeer uw personeelsleden en wijs hen op de risico’s bij het niet naleven van de GDPR-bepalingen.