Privacywetgeving: Bent u GDPR conform | Stremersch Accountancy
Compenserende regels
Compenserende regels voor vennootschapsbelasting
18 december 2017
Het sociaal statuut van de zelfstandigen voortdurend versterkt
Het sociaal statuut van de zelfstandigen voortdurend versterkt
30 januari 2018

Privacywetgeving: Bent u al GDPR conform?

Vanaf 25 mei 2018 moet elke Belgische onderneming die gegevens van EU-burgers verzamelt, met de nieuwe privacywetgeving in orde zijn. De Europese privacyverordening (GDPR) brengt een reeks nieuwe maatregelen voor verwerking, beheer en bewaren van persoonsgegevens met zich mee. Het is de verantwoordelijkheid van de onderneming zelf wat betreft de naleving van de privacywetgeving en het aantonen hiervan.

De Algemene Verordening Gegevensbescherming (AVG)

Er bestaat al sinds 1995 een privacyrichtlijn die door alle lidstaten in nationaal recht is omgezet. Deze richtlijn bepaalt hoe en wanneer bedrijven persoonsgegevens mogen verzamelen, verwerken en doorgeven aan derden. De regels die vandaag dus nog steeds van kracht zijn, zijn niet echt meer up-to-date met de snelgroeiende economische en technologische ontwikkelingen waar we ons in bevinden. De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) biedt een antwoord op onze dagelijkse internetwereld. De verordening is al van 24 mei 2016 van kracht. Bedrijven krijgen echter wel nog tot 25 mei 2018 de tijd om zich aan de nieuwe regels aan te passen. De regels gelden in de hele Europese Unie zonder dat nationale implementatiewetten vereist zijn (m.u.v. enkele bepalingen).
Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen. De bescherming die deze verordening biedt, betreft alleen natuurlijke personen -ongeacht hun nationaliteit of verblijfplaats- en de verwerking van hun persoonsgegevens.

Welke rechten hebben burgers?

De bescherming van (natuurlijke) personen bij de verwerking van persoonsgegevens is een grondrecht. Uit onderzoek van de Europese Commissie blijkt dat websitebezoekers hun vragen stellen bij de wijze waarop hun persoonlijke gegevens gebruikt worden op het internet. De nieuwe verordening geeft burgers meer controle en inzicht door:

  • Een eenvoudigere toegang tot de eigen persoonsgegevens.
  • Een recht op overdraagbaarheid van gegevens (data portability). Dit is een verbeterde vorm van toegang waarbij de betrokkene het recht heeft persoonsgegevens in een gestructureerde, gangbare én elektronische vorm te verkrijgen.
  • Een bevestiging van het recht op gegevenswissing of het recht op vergetelheid (right to be forgotten).
  • Het recht om verwittigd te worden als een database met uw gegevens wordt gehackt ("datalekken" zie infra).

Welke verplichtingen hebben bedrijven

Vanaf 25 mei 2018 moeten sommige verwerkingsverantwoordelijken en/of verwerkers (bijvoorbeeld banken en verzekeraars) verplicht een functionaris voor gegevensbescherming aanstellen. Ook wel de Data Protection Officer (DPO) genoemd. Maar ook wie niet onder deze verplichting valt, heeft belang bij de aanstelling van zo'n functionaris die een belangrijke rol kan spelen in het databeschermingsbeleid van uw organisatie.

De AVG verplicht ook om een interne documentatie bij te houden van de verwerkingsactiviteiten (risicoanalyse). De Privacycommissie stelt alvast een Registermodel ter beschikking. Om rekening te houden met de specifieke situatie van kmo's en micro-ondernemingen is er een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van die registers betreft.

Om zich voor te bereiden op de nieuwe regels heeft de Privacycommissie trouwens een stappenplan voor bedrijven uitgewerkt (www.privacycommission.be).

Deze stappen gaan over volgende topics:

  1. Bewustwording: informeer medewerkers over de aankomende veranderingen.
  2. Dataregister: breng in kaart welke persoonsgegevens worden bijgehouden, waar die vandaan komen en met wie deze worden gedeeld.
  3. Communicatie: worden nu al persoonsgegevens verwerkt? Dan moet u aan de betrokkene bepaalde informatie verschaffen zoals de identiteit van de verwerker en de wijze waarop die de gegevens zal aanwenden. Doorgaans wordt die informatie verstrekt via een privacyverklaring. Die privacyverklaring moet worden aangevuld met nieuwe informatietypes.
  4. Rechten van de betrokkene: ... zijn dezelfde rechten als onder de huidige Belgische Privacywet met enkele verbeteringen. De AVG voorziet o.a. in informatie en toegang tot persoonsgegevens; correctie en uitwissing van de gegevens; bezwaar tegen direct marketingpraktijken; bezwaar tegen geautomatiseerde besluitvorming en profilering en overdraagbaarheid van de gegevens. Het recht op overdraagbaarheid van de gegevens is nieuw.
  5. Verzoek tot toegang: in de meeste gevallen moet gratis en binnen de 30 dagen (i.t.t. de huidige termijn van 45 dagen) gevolg worden gegeven aan het verzoek tot toegang.
  6. Wettelijke grondslag voor verwerking van persoonsgegevens: ... is in de AVG quasi identiek aan deze in de huidige Privacywet. Kijk de gegevensverwerkingen na, bepaal de wettelijke basis en documenteer dit in het licht van de verantwoordelijkheidsvereiste.
  7. Toestemming: de AVG vermeldt “toestemming” en “expliciete toestemming”. Het onderscheid is niet echt duidelijk. De toestemming kan wel niet worden afgeleid uit een stilzwijgen, een vooraf aangevinkt vakje of uit een niet-handelen.
  8. Kinderen: verzamelt uw bedrijf gegevens van kinderen onder de 16 jaar, dan moet een ouder of voogd toestemming geven opdat de gegevensverwerking rechtmatig is.
  9. Datalekken: datalekken waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden, bv. als gevolg van een identiteitsdiefstal of het schenden van een geheimhoudingsplicht, moeten worden gemeld aan de Privacycommissie in principe binnen de 72 uur. Ook de betrokkene moet dan worden ingelicht.
  10. Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling (privacy by design en privacy impact assessment): de AVG maakt hiervan een duidelijke wettelijke vereiste. Een effectbeoordeling is enkel vereist in hoge risicosituaties, bv. wanneer een nieuwe technologie wordt geïmplementeerd.
  11. Functionaris voor gegevensbescherming (Data Protection Officer): zie supra.
  12. Internationaal: wie internationaal actief is, moet bepalen onder welke toezichthoudende autoriteit hij valt.
  13. Contracten: beoordeel bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng zo nodig tijdig veranderingen aan.

Strengere controles worden verwacht

De Privacycommissie kan geen boetes opleggen indien de huidige privacywetgeving niet wordt nageleefd. Maar opgelet; wie niet GDPR-compliant is, mag zich wel aan strengere controles verwachten. De Privacycommissie zal immers onderzoeks- en vervolgingsbevoegdheden krijgen. Inbreuken zijn onderworpen aan administratieve geldboeten tot 20.000.000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is!

Source:Kluwer Easyweb

Maak een afspraak