Gegevensbescherming, Privacy en GDPR

Gegevensbescherming, Privacy en GDPR

Door de evolutie van IT en sociale media is privacy een belangrijk onderwerp geworden waar grote zakelijke risico’s mee kunnen gepaard gaan: gegevens die verkocht of gelekt worden, inbraken in gegevensbestanden. Ook U heeft belang als ondernemer/organisatie dat vertrouwelijke gegevens niet worden gelekt, of wanneer, bij gebeurlijk incident, U de schade zoveel mogelijk kan beperken.   Als particulier heeft U er belang bij dat geen overmatige, al of niet vertrouwelijke, informatie, wordt verzameld, gebruikt of misbruikt wordt. 
Gezien die evolutie heeft het Europees Parlement een Algemene Verordening Gegevensbescherming (AVG – of General Data Protection Regulation – GDPR) goedgekeurd.  Zij bevat een aantal ingrijpende maatregelen die door iedere onderneming/organisatie toegepast moeten worden vanaf 25 mei 2018.

A.           Eén Europese norm
Er geldt voortaan  één norm inzake persoonsgegevens in de EU: voormelde Europese Verordening.  Op bepaalde punten kunnen de lidstaten aanpassingen invoeren bij wet (wat in België nog niet het geval is).
Die GDPR neemt een aantal belangrijke nieuwe verplichtingen met zich voor ondernemingen en organisaties. 
 
B.           Sancties en controle
De nationale toezichthoudende autoriteiten (zoals in België de “Privacycommissie” of binnenkort “Gegevensbeschermingsautoriteit”) kunnen controles verrichten en sancties opleggen. Sancties kunnen aanzienlijk zijn: geldboetes welke kunnen oplopen tot 20 miljoen € of 4 % van de jaarlijkse wereldwijde omzet. Zover hoeft het niet te komen. Ingeval een overtreding kan ook een schriftelijke waarschuwing worden gegeven.  Ook kunnen audits worden opgelegd. 
Hierna volgt, in zeer kort bestek, de plichten wat een onderneming precies moet doen.
 
C.           Waarmee moet U als onderneming/organisatie rekening houden
 
1)           Toepassing
De GDPR is van toepassing op verwerking van persoonsgegevens.  Persoonsgegevens bevat alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.  Verwerking is daarbij een bewerking m.b.t. die persoonsgegevens: ordenen, vastleggen, verzamelen, structureren, …
M.a.w.: van zodra persoonsgegevens over een identificeerbare persoon enigszins verwerkt wordt, is GDPR van toepassing (behoudens gebruik voor huishoudelijke aard).
GDPR is niet enkel van toepassing voor ondernemingen gevestigd binnen de EU, ook ondernemingen gevestigd buiten de EU die goederen of diensten aanbieden binnen de Europese markt of gegevens verzamelen van betrokkenen die zich in de EU bevinden, is de GDPR van toepassing.
 
2)           Rechten van de betrokkenen - verwerkingsverantwoordelijke
Betrokkenen zijn de personen waarvan de gegevens worden verzameld.  Zij krijgen bijkomende rechten.
De verwerkingsverantwoordelijke is diegene die het doel (waarvoor de gegevens verzameld worden) en de middelen van de verwerking vaststelt. M.a.w.: als U als ondernemer persoonsgegevens verwerkt, bent U de verwerkingsverantwoordelijke. De verwerker is degene die ten behoeve van de verwerkingsverantwoordelijke die persoonsgegevens verwerkt (bijv.: IT-toeleverancier).
De verwerkingsverantwoordelijke moet, bij verkrijging van persoonsgegevens, informatie verstrekken aan de betrokkene (dit kan bijv. door een formulering in Uw algemene voorwaarden wanneer een consument een contract sluit met Uw onderneming).  De betrokkene heeft in bepaalde gevallen ook het recht op de beperking van zijn gegevens en kan de juistheid ervan betwisten. Betrokkene heeft tevens in diverse gevallen het recht om bezwaar te maken tegen de verwerking en in sommige gevallen “het recht om vergeten te worden”.   Een bezwaar tegen direct marketingpraktijken en geautomatiseerde besluitvorming is mogelijk.
In diverse gevallen moeten betrokkenen effectief duidelijke toestemming geven om persoonsgegevens te verwerken.   Betrokkenen kunnen hun gegevens makkelijker laten overdragen naar een andere leverancier van dezelfde soort dienst (bijv. bij het overschakelen van één gsm-operator naar een andere). Bovendien heeft iedere betrokkene het recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit wanneer deze van mening is dat er een inbreuk is gemaakt op de GDPR.
 
3)           Wat zijn de toelaatbaarheidsgronden?
Men moet de toelaatbaarheidsgronden bepalen waarop de verwerking van de persoonsgegevens berusten (dit zijn: de toestemming, een contract, een wettelijke verplichting, een gerechtvaardigd belang, een vitaal of algemeen belang,). 
De verwerkingsverantwoordelijke moet altijd kunnen aantonen dat wanneer de “toestemming” als toelaatbaarheidsgrond wordt gebruikt, betrokkene effectief zijn toestemming heeft gegeven tot de verwerking.  Een reeds voorbewerkt vakje dat aangevinkt staat met “I agree” volstaat niet. 
 
4)           Verwerkingsregister
Er dient een register te worden bijgehouden van alle processen waarbij persoonsgegevens verwerkt worden.  Dit register moet vermelden: naam en contactgegevens van de werkingsverantwoordelijken, de doeleinden waarmee de gegevens worden bewerkt, aard van de gegevens, met wie U de gegevens deelt, beschrijving van de categorieën van betrokkenen en ontvangers, doorgifte aan een derde land, de termijnen, de beveiligingsmaatregelen…
Dit kan schriftelijk en/of elektronisch gebeuren.  Het heeft betrekking op het elektronisch als manueel behandelen van gegevens.
Zulk verwerkingsregister kan best opgesteld worden binnen de onderneming in samenwerking met de sleutelfiguren binnen de onderneming die zich hiermee bezighouden (marketingverantwoordelijke, HR-manager, enz…). Zij moeten samen evalueren welke domeinen mogelijkerwijs problematisch kunnen zijn i.v.m. privacy.
Ook is het belangrijk i.v.m. de beveiliging, uw externe IT-leverancier er bij te betrekken. Het is geen statisch gegeven: het moet steeds aangepast worden waar nodig.
Dit hoeft geen onoverkomelijk vereiste te zijn. Het is een goede aangelegenheid om al uw processen binnen de onderneming eens in kaart te zetten (audit), en na te gaan wat beter of efficiënter kan.
 
5)           Data Protection Officer (DPO)
Dit is de functionaris voor gegevensbescherming.   Deze moet worden aangesteld:
- voor overheidsinstanties;
- voor verwerkingen die vanwege hun aard regelmatige observatie op grote schaal van betrokkenen vereisen;
- de verwerkingsverantwoordelijke hoofdzakelijk is belast met grootschalige verwerking van gevoelige gegevens.
De DPO is onafhankelijk en ziet erop dat het beleid van de onderneming in overeenstemming is met de GDPR. De DPO is bevoegd om klachten van betrokkenen te behandelen en te bemiddelen.  De DPO behandelt deze klacht op onafhankelijke wijze. De DPO kan een personeelslid zijn of extern.    
 
6)           Data Protection Impact Assessment (Gegevensbeschermingseffectbeoordeling)
Indien het persoonsgegevens betreffen welke een groot risico zouden opleveren voor betrokkenen, dient men voor de verwerking ervan een Data Protection Impact Assessment te voorzien. Dit kan vooral het geval zijn bij verwerking waarbij nieuwe technologieën worden gebruikt.  Een risico bestaat bv. bij grootschalige verwerking van bijzonder gevoelige persoonsgegevens (gezondheid, ras, etnische afkomst, enz…).  Er zal een lijst opgesteld worden door de Gegevensbeschermingsautoriteit voor de gevallen waarvoor men steeds verplicht is een dergelijke DPIA in te voeren.
 
7)           Voorafgaande raadpleging Gegevensbeschermingsautoriteit
Wanneer uit deze DPIA blijkt dat de verwerking een hoog risico inhoudt, dient in sommige gevallen de Gegevensbeschermingsautoriteit te worden geraadpleegd.
 
8)           Data Breach
Er moeten ook maatregelen worden voorzien in geval van datalekken.  (Dit kan zelfs tot verlies van een laptop, memory-stick of een andere elektronische drager met vertrouwelijke persoonsgegevens).
Er bestaat meldingsplicht aan de Gegevensbeschermingsautoriteit van de verwerkingsverantwoordelijke binnen de 72 uur  (tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de individuele vrijheid en de rechten van natuurlijke personen).
Naast deze verplichting voorziet de GDPR ook verplichtingen indien u samenwerkt met “verwerkers” (leverancier van software die zelf ook enige vorm persoonsgegevens verwerkt, externe bewaarders van gegevens, sociale secretariaten, ed.)
Een goede verwerkingsovereenkomst is dan ook noodzakelijk.
 
D.           Samenvatting
Samengevat dient steeds een verwerkingsregister te worden opgesteld waarin de aard van de persoonsgegevens worden verzameld met opsomming wat men ermee doet.   Daaruit dient vastgesteld te worden of betrokkenen moeten worden geïnformeerd.  Soms moet nagaan of effectieve toestemming noodzakelijk is.  Ook dient nagegaan te worden of een Data Protection Officer moet aangesteld worden, en in sommige gevallen bij zeer uitgebreide verwerking, een Data Protection Impact Assessment moet worden voorzien.   Wijze van recht van inzage moet worden georganiseerd.  Dit kan door, o.a., uw algemene voorwaarden aan te passen.  De verwerkingsovereenkomsten met uw toeleveranciers moeten worden herzien.
Wij kunnen u begeleiden om u zich conform te stellen met deze regelgeving.  Op eerste zicht lijkt dit complex, doch mits goede aanpak en overleg met IT-toeleveranciers en de interne sleutelfiguren, kunnen deze verwerkingsprocessen van gegevens, én de risico’s, prefect geïnventariseerd worden.
Wellicht is het een goede aanleiding om dit intern te organiseren onder de vorm van een audit waarbij uw processen geoptimaliseerd kunnen worden.
 
Erik MAES
 

 
 





a65ae8ad-0897-4b28-a5d4-b84f85828e58
2e4fcbfb-d274-4cd1-b2da-e7eed915beae
57d48871-f7ce-4f5c-9187-6ee43741cda8
                       CGK Advocaten • Paleisstraat 24 • 2018 Antwerpen
                                           Info@cgkadvocaten.be
GORIS, KIPS en MAES BVBA - BE0461.168.781  -   LEPERE ADVOCATEN BVBA - BE0875.340.173