Nieuwe privacywetgeving gaat in op 25 mei 2018! Bent u GDPR compliant?
Wat is GDPR?
De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) biedt een antwoord op onze dagelijkse internetwereld. De verordening is al op 24 mei 2016 in werking getreden, maar bedrijven krijgen nog tot 25 mei 2018 de tijd om zich aan de nieuwe regels aan te passen. De regels gelden in de hele Europese Unie zonder dat nationale implementatiewetten vereist zijn (m.u.v. enkele bepalingen).
Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen. De bescherming die deze verordening biedt, betreft alleen natuurlijke personen -ongeacht hun nationaliteit of verblijfplaats- en de verwerking van hun persoonsgegevens.
Geldt de GDPR ook voor u als zelfstandige of KMO?
De verordening geldt voor iedereen die persoonsgegevens bijhoudt of verwerkt. Elke onderneming die een database heeft met klantengegevens, prospects, personeelsgegevens, gegevens van toeleveranciers, … is verplicht om zich in regel te stellen. De GDPR raakt verschillende sectoren; een bouwbedrijf houdt het e-mailverkeer en financiële gegevens bij van zijn leveranciers, een advocaat of een notaris archiveert (gevoelige) informatie van zijn cliënten, winkeliers verwerken informatie op basis van klantenkaarten, marketingbedrijven analyseren koopgedrag op allerhande manieren, ondernemingen in de zorgsector houden gevoelige informatie van klanten, enz.
Het komt er met andere woorden op neer dat praktisch élke onderneming zich in regel moet stellen tegen mei 2018. De verordening maakt globaal geen onderscheid tussen kleine en grote bedrijven, met een kleine nuance voor
ondernemingen die big data verwerken als ‘core business’ (direct marketing, profiling, …).
Rechten van burgers
De bescherming van (natuurlijke) personen bij de verwerking van persoonsgegevens is een grondrecht. Uit onderzoek van de Europese Commissie blijkt dat internetgebruikers vragen hebben bij de wijze waarop hun persoonsgegevens online worden gebruikt. De nieuwe verordening geeft burgers meer controle door:
Een eenvoudigere toegang tot de eigen persoonsgegevens.
Een recht op overdraagbaarheid van gegevens (data portability). Dit is een verbeterde vorm van toegang waarbij de betrokkene het recht heeft persoonsgegevens in een gestructureerde, gangbare én elektronische vorm te verkrijgen.
Een bevestiging van het recht op gegevenswissing of het recht op vergetelheid (right to be forgotten).
Het recht om verwittigd te worden als een database met uw gegevens wordt gehackt.
Plichten van bedrijven
Vanaf 25 mei 2018 moeten sommige verwerkingsverantwoordelijken en/of verwerkers (bv. banken en verzekeraars) verplicht een functionaris voor gegevensbescherming aanstellen, ook wel de Data Protection Officer (DPO) genoemd. Maar ook wie niet onder deze verplichting valt, heeft belang bij de aanstelling van zo’n functionaris die een belangrijke rol kan spelen in het databeschermingsbeleid van uw organisatie.
De AVG verplicht ook om een interne documentatie bij te houden van de verwerkingsactiviteiten (risicoanalyse). De Privacycommissie stelt alvast een Registermodel ter beschikking. Om rekening te houden met de specifieke situatie van kmo’s en micro-ondernemingen is er een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van die registers betreft.
Indien een onderneming minder dan 250 werknemers tewerkstelt, zal dit register ook moeten worden opgesteld indien de verwerking van persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen, niet incidenteel gebeurt of indien er gevoelige gegevens worden verwerkt.
Om zich voor te bereiden op de nieuwe regels heeft de Privacycommissie trouwens een stappenplan voor bedrijven uitgewerkt (www.privacycommission.be). Die dertien stappen gaan over:
1. Bewustwording: informeer medewerkers over de aankomende veranderingen.
2. Dataregister: breng in kaart welke persoonsgegevens worden bijgehouden, waar die vandaan komen en met wie deze worden gedeeld.
3. Communicatie: worden nu al persoonsgegevens verwerkt? Dan moet u aan de betrokkene bepaalde informatie verschaffen zoals de identiteit van de verwerker en de wijze waarop die de gegevens zal aanwenden. Doorgaans wordt die informatie verstrekt via een privacyverklaring. Die privacyverklaring moet worden aangevuld met nieuwe informatietypes.
4. Rechten van de betrokkene: … zijn dezelfde rechten als onder de huidige Belgische Privacywet met enkele verbeteringen. De AVG voorziet o.a. in informatie en toegang tot persoonsgegevens; correctie en uitwissing van de gegevens; bezwaar tegen direct marketingpraktijken; bezwaar tegen geautomatiseerde besluitvorming en profilering en overdraagbaarheid van de gegevens. Het recht op overdraagbaarheid van de gegevens is nieuw.
5. Verzoek tot toegang: in de meeste gevallen moet gratis en binnen de 30 dagen (i.t.t. de huidige termijn van 45 dagen) gevolg worden gegeven aan het verzoek tot toegang.
6. Wettelijke grondslag voor verwerking van persoonsgegevens: … is in de AVG quasi identiek aan deze in de huidige Privacywet. Kijk de gegevensverwerkingen na, bepaal de wettelijke basis en documenteer dit in het licht van de verantwoordelijkheidsvereiste.
7. Toestemming: de AVG vermeldt “toestemming” en “expliciete toestemming”. Het onderscheid is niet echt duidelijk. De toestemming kan wel niet worden afgeleid uit een stilzwijgen, een vooraf aangevinkt vakje of uit een niet-handelen.
8. Kinderen: verzamelt uw bedrijf gegevens van kinderen onder de 16 jaar, dan moet een ouder of voogd toestemming geven opdat de gegevensverwerking rechtmatig is.
9. Datalekken: datalekken waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden, bv. als gevolg van een identiteitsdiefstal of het schenden van een geheimhoudingsplicht, moeten worden gemeld aan de Privacycommissie in principe binnen de 72 uur. Ook de betrokkene moet dan worden ingelicht.
10. Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling (privacy by design en privacy impact assessment): de AVG maakt hiervan een duidelijke wettelijke vereiste. Een effectbeoordeling is enkel vereist in hoge risicosituaties, bv. wanneer een nieuwe technologie wordt geïmplementeerd.
11. Functionaris voor gegevensbescherming (Data Protection Officer): zie supra.
12. Internationaal: wie internationaal actief is, moet bepalen onder welke toezichthoudende autoriteit hij valt.
13. Contracten: beoordeel bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng zo nodig tijdig veranderingen aan.
Strengere controles
De niet-naleving van de huidige privacywetgeving blijft zo goed als ongestraft omdat de Privacycommissie geen boetes kan opleggen. Wie niet GDPR-compliant is, mag zich echter aan strenge controles verwachten. De Privacycommissie zal immers onderzoeks- en vervolgingsbevoegdheden krijgen. Inbreuken zijn onderworpen aan administratieve geldboeten tot 20.000.000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is!
Voor verdere info zie http://gdpr.wolterskluwer.be