Privacywetgeving: Bent u GDPR conform | Stremersch Accountancy
Compenserende regels
Compenserende regels voor vennootschapsbelasting
18 december 2017
Het sociaal statuut van de zelfstandigen voortdurend versterkt
Het sociaal statuut van de zelfstandigen voortdurend versterkt
30 januari 2018
0

Privacywetgeving: Bent u GDPR conform

GDPR conform

Privacywetgeving: Bent u al GDPR conform?

Vanaf 25 mei 2018 moet elke Belgische onderneming die gegevens van EU-burgers verzamelt, met de nieuwe privacywetgeving in orde zijn. De Europese privacyverordening (GDPR) brengt een reeks nieuwe maatregelen voor verwerking, beheer en bewaren van persoonsgegevens met zich mee. Het is de verantwoordelijkheid van de onderneming zelf wat betreft de naleving van de privacywetgeving en het aantonen hiervan.

De Algemene Verordening Gegevensbescherming (AVG)

Er bestaat al sinds 1995 een privacyrichtlijn die door alle lidstaten in nationaal recht is omgezet. Deze richtlijn bepaalt hoe en wanneer bedrijven persoonsgegevens mogen verzamelen, verwerken en doorgeven aan derden. De regels die vandaag dus nog steeds van kracht zijn, zijn niet echt meer up-to-date met de snelgroeiende economische en technologische ontwikkelingen waar we ons in bevinden. De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) biedt een antwoord op onze dagelijkse internetwereld. De verordening is al van 24 mei 2016 van kracht. Bedrijven krijgen echter wel nog tot 25 mei 2018 de tijd om zich aan de nieuwe regels aan te passen. De regels gelden in de hele Europese Unie zonder dat nationale implementatiewetten vereist zijn (m.u.v. enkele bepalingen).
Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen. De bescherming die deze verordening biedt, betreft alleen natuurlijke personen -ongeacht hun nationaliteit of verblijfplaats- en de verwerking van hun persoonsgegevens.

Welke rechten hebben burgers?

De bescherming van (natuurlijke) personen bij de verwerking van persoonsgegevens is een grondrecht. Uit onderzoek van de Europese Commissie blijkt dat websitebezoekers hun vragen stellen bij de wijze waarop hun persoonlijke gegevens gebruikt worden op het internet. De nieuwe verordening geeft burgers meer controle en inzicht door:

  • Een eenvoudigere toegang tot de eigen persoonsgegevens.
  • Een recht op overdraagbaarheid van gegevens (data portability). Dit is een verbeterde vorm van toegang waarbij de betrokkene het recht heeft persoonsgegevens in een gestructureerde, gangbare én elektronische vorm te verkrijgen.
  • Een bevestiging van het recht op gegevenswissing of het recht op vergetelheid (right to be forgotten).
  • Het recht om verwittigd te worden als een database met uw gegevens wordt gehackt ("datalekken" zie infra).

Welke verplichtingen hebben bedrijven

Vanaf 25 mei 2018 moeten sommige verwerkingsverantwoordelijken en/of verwerkers (bijvoorbeeld banken en verzekeraars) verplicht een functionaris voor gegevensbescherming aanstellen. Ook wel de Data Protection Officer (DPO) genoemd. Maar ook wie niet onder deze verplichting valt, heeft belang bij de aanstelling van zo'n functionaris die een belangrijke rol kan spelen in het databeschermingsbeleid van uw organisatie.

De AVG verplicht ook om een interne documentatie bij te houden van de verwerkingsactiviteiten (risicoanalyse). De Privacycommissie stelt alvast een Registermodel ter beschikking. Om rekening te houden met de specifieke situatie van kmo's en micro-ondernemingen is er een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van die registers betreft.

Om zich voor te bereiden op de nieuwe regels heeft de Privacycommissie trouwens een stappenplan voor bedrijven uitgewerkt (www.privacycommission.be).

Deze stappen gaan over volgende topics:

  1. Bewustwording: informeer medewerkers over de aankomende veranderingen.
  2. Dataregister: breng in kaart welke persoonsgegevens worden bijgehouden, waar die vandaan komen en met wie deze worden gedeeld.
  3. Communicatie: worden nu al persoonsgegevens verwerkt? Dan moet u aan de betrokkene bepaalde informatie verschaffen zoals de identiteit van de verwerker en de wijze waarop die de gegevens zal aanwenden. Doorgaans wordt die informatie verstrekt via een privacyverklaring. Die privacyverklaring moet worden aangevuld met nieuwe informatietypes.
  4. Rechten van de betrokkene: ... zijn dezelfde rechten als onder de huidige Belgische Privacywet met enkele verbeteringen. De AVG voorziet o.a. in informatie en toegang tot persoonsgegevens; correctie en uitwissing van de gegevens; bezwaar tegen direct marketingpraktijken; bezwaar tegen geautomatiseerde besluitvorming en profilering en overdraagbaarheid van de gegevens. Het recht op overdraagbaarheid van de gegevens is nieuw.
  5. Verzoek tot toegang: in de meeste gevallen moet gratis en binnen de 30 dagen (i.t.t. de huidige termijn van 45 dagen) gevolg worden gegeven aan het verzoek tot toegang.
  6. Wettelijke grondslag voor verwerking van persoonsgegevens: ... is in de AVG quasi identiek aan deze in de huidige Privacywet. Kijk de gegevensverwerkingen na, bepaal de wettelijke basis en documenteer dit in het licht van de verantwoordelijkheidsvereiste.
  7. Toestemming: de AVG vermeldt “toestemming” en “expliciete toestemming”. Het onderscheid is niet echt duidelijk. De toestemming kan wel niet worden afgeleid uit een stilzwijgen, een vooraf aangevinkt vakje of uit een niet-handelen.
  8. Kinderen: verzamelt uw bedrijf gegevens van kinderen onder de 16 jaar, dan moet een ouder of voogd toestemming geven opdat de gegevensverwerking rechtmatig is.
  9. Datalekken: datalekken waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden, bv. als gevolg van een identiteitsdiefstal of het schenden van een geheimhoudingsplicht, moeten worden gemeld aan de Privacycommissie in principe binnen de 72 uur. Ook de betrokkene moet dan worden ingelicht.
  10. Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling (privacy by design en privacy impact assessment): de AVG maakt hiervan een duidelijke wettelijke vereiste. Een effectbeoordeling is enkel vereist in hoge risicosituaties, bv. wanneer een nieuwe technologie wordt geïmplementeerd.
  11. Functionaris voor gegevensbescherming (Data Protection Officer): zie supra.
  12. Internationaal: wie internationaal actief is, moet bepalen onder welke toezichthoudende autoriteit hij valt.
  13. Contracten: beoordeel bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng zo nodig tijdig veranderingen aan.

Strengere controles worden verwacht

De Privacycommissie kan geen boetes opleggen indien de huidige privacywetgeving niet wordt nageleefd. Maar opgelet; wie niet GDPR-compliant is, mag zich wel aan strengere controles verwachten. De Privacycommissie zal immers onderzoeks- en vervolgingsbevoegdheden krijgen. Inbreuken zijn onderworpen aan administratieve geldboeten tot 20.000.000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is!

Source:Kluwer Easyweb

Gerelateerde berichten

credit card, card, credit
31 augustus 2023

Slechte betalers aanpakken via aangepaste betalingstermijn?

Lees meer
calculator, hand, calculate
31 augustus 2023

Een algemene onkostenvergoeding als bedrijfsleider: de spelregels in een notendop

Lees meer
hypertension, high blood pressure, heart disease
31 augustus 2023

Kmo’s geen voorstander van afschaffing ziektebriefje

Lees meer
summer, travel, vacation
31 juli 2023

Zo vertrekt u zorgeloos met vakantie

Lees meer
a laptop on a coffee table
31 juli 2023

Ondernemersbarometer: steeds meer ondernemers, steeds jonger

Lees meer
hourglass, money, time
31 juli 2023

Is uw bedrijfsvoorheffing correct berekend en tijdig betaald?

Lees meer
black laptop computer on white table
28 juni 2023

Vijf tips om tijdens de zomerperiode je kantoororganisatie op orde te brengen

Lees meer
Man and Woman Near Table
26 juni 2023

7 tips voor een succesvolle rekruterings- en aanwervingsstrategie

Lees meer
Tax Documents on Black Table
11 juni 2023

Eigen aangifte jaarlijkse taks op effectenrekeningen: in te dienen voor 15 juli 2023

Lees meer
a calendar with red push buttons pinned to it
1 juni 2023

Indieningstermijnen belastingaangifte: een overzicht

Lees meer
a laptop computer sitting on top of a desk
1 juni 2023

Hoe uw kmo beschermen tegen schokken en crisissen?

Lees meer
100 banknote lot
1 juni 2023

5 manieren om te snoeien in uw bedrijfskosten

Lees meer