Op 14 april 2016 heeft het Europees Parlement de General Data Protection Regulation (‘GDPR’) goedgekeurd. Met deze nieuwe verordening beoogt Europa een hoger beschermingsniveau voor alle particulieren wiens persoonsgegevens verwerkt worden. Op 25 mei 2018 zal de verordening van kracht worden in alle Europese lidstaten. De verordening geldt voor iedereen die persoonsgegevens bijhoudt of verwerkt. Elke onderneming die een database heeft met klantengegevens, prospects, personeelsgegevens, gegevens van toeleveranciers, … is verplicht om zich in regel te stellen. Wanneer u als onderneming niet voldoet aan de eisen van de nieuwe wetgeving, riskeert u mogelijks zware boetes. Belangrijker dan het vermijden van boetes is dat de nieuwe privacywetgeving voor bedrijven een opportuniteit vormt om op een transparante en datavriendelijke manier om te gaan met klanten.
De nieuwe privacy verordening of GDPR vervangt de huidige richtlijn met betrekking tot privacy. ‘Persoonsgegevens’ worden in de GDPR zeer ruim opgevat. Het gaat niet enkel om gegevens waarmee men de klant rechtstreeks kan identificeren (zoals e-mailadressen). Het betreft net zozeer gegevens waarmee men het individu onrechtstreeks kan identificeren (zoals locatiegegevens). Het mag in ieder geval duidelijk zijn dat heel wat bedrijven die online actief zijn persoonsgegevens - in de zin van de GDPR - verwerken. De verplichtingen in de GDPR zijn daarenboven niet alleen van toepassing op ondernemingen die persoonsgegevens verwerken voor eigen doeleinden maar ook voor deze die persoonsgegevens verwerken ten behoeve van andere ondernemingen dienen de GDPR na te leven. De GDPR is van toepassing van zodra er gegevens worden verwerkt van natuurlijke personen die zich in de EU bevinden. Daarnaast moeten ook de bedrijven die niet in de EU gevestigd zijn vanaf nu rekening houden met de GDPR. Uiteraard enkel voor zover zij hun goederen of diensten aanbieden aan personen die zich in de Unie bevinden of wanneer zij het gedrag van die personen monitoren.
In de GDPR wordt veel belang gehecht aan de plicht van ondernemingen om zo transparant mogelijk te zijn over de verzamelde persoonsgegevens. De wetgeving vereist dat het datasubject (het individu waarover gegevens verzameld wordt) uitgebreid geïnformeerd wordt, en dit in een eenvoudige, toegankelijke en begrijpelijke taal. Daarnaast moet de betrokkene op de hoogte zijn van de mate waarin en de doeleinden waarvoor zijn gegevens worden verwerkt. Ook is het van belang dat de rechten van de betrokkene uitdrukkelijk worden opgesomd en verklaard. De meest efficiënte manier waarop een onderneming aan deze informatieverplichting tegemoet kan komen, is door een privacyverklaring op te stellen en op haar website te plaatsen.
In deze privacyverklaring moet volgende informatie zeker worden opgenomen:
Recht op informatie: U mag persoonsgegevens niet verwerken zonder medeweten van uw klant. In de wet is bepaald welke gegevens aan uw klant moeten worden meegedeeld. Deze verplichting geldt ongeacht of de gegevens bij de klant zelf of onrechtstreeks zijn verkregen.
Recht op verwijdering: In een aantal specifieke gevallen kan de persoon van wie u gegevens bijhoudt, vragen om ‘vergeten te worden’ en te worden verwijderd uit uw database. U kan de vraag tot verwijdering ook weigeren in een aantal gevallen.
Recht op correctie: De persoon van wie u gegevens bijhoudt, heeft het recht om onjuiste of onvolledige persoonsgegevens te verbeteren. U moet binnen de maand reageren (verlengbaar met 2 maanden). U moet ook derden aan wie deze gegevens werden bezorgd, hierover informeren en aan de betrokkene meedelen aan welke derden de persoonsgegevens werden bezorgd.
Recht van verzet :De persoon van wie u gegevens bijhoudt, heeft het recht zich te verzetten tegen de verwerking van zijn gegevens op basis van ernstige en gerechtvaardigde redenen (tenzij wettelijk bepaald of wanneer noodzakelijk voor uitvoeren van een overeenkomst). Wanneer gegevens worden verzameld met het oog op direct marketing, dan kan de betrokken persoon zich kosteloos en zonder verantwoording verzetten tegen de verwerking van zijn gegevens. U moet de betrokken persoon in elk geval informeren over zijn recht op verzet en het uitdrukkelijk vermelden in de privacy policy.
Recht van inzage:De persoon van wie u gegevens bijhoudt, heeft het recht om bepaalde gegevens in te kijken en bijkomende informatie te ontvangen over heel wat zaken. U moet ook een gratis kopie verstrekken van de verwerkte persoonsgegevens binnen de maand (verlengbaar met 2 maanden).
Geautomatiseerde besluitvorming en profiling: Elke persoon van wie u gegevens bijhoudt, heeft het recht om niet te worden onderworpen aan een volledig geautomatiseerde besluitvorming. Hierop zijn drie uitzonderingen. Ten eerste geldt het niet wanneer de besluitvorming nodig is om een overeenkomst te sluiten of uit te voeren; ten tweede geldt het niet wanneer het wettelijk is toegestaan; en ten derde is het niet van toepassing indien het gebaseerd is op uitdrukkelijke toestemming.
Recht op overdraagbaarheid van gegevens: De persoon van wie u gegevens bijhoudt, heeft het recht om persoonsgegevens die hij heeft verstrekt, te laten overdragen aan een andere verwerker. De gegevens moeten gratis worden overgedragen, binnen een tijdspanne van een maand (verlengbaar met 2 maanden), in een gestructureerde gangbare en leesbare vorm. Dit kan enkel voor gegevens die de betrokken persoon heeft verstrekt op basis van toestemming of overeenkomst.
Om voorgaande rechten van de betrokkenen te garanderen is het verstandig om een register bij te houden waarin alles over de dataverzameling wordt georganiseerd en gedocumenteerd.
Dit register moet een antwoord bieden op volgende vragen:
Gegevensbescherming by design en by default zijn twee nieuwe termen die door de GDPR geïntroduceerd worden. Enerzijds komt het er op neer dat u, bij de ontwikkeling van nieuwe producten, vanaf het prille begin de kernwaarden van privacy in acht neemt. Dataminimalisatie is hier een mooi voorbeeld van . Dit is gebaseerd op het principe dat men enkel relevante persoonsgegevens mag vragen voor de gewenste verwerkingsdoeleinden. Anderzijds moet u er voor zorgen dat, wanneer iemand de keuze heeft om zelf te bepalen welke persoonsgegevens hij of zij wil delen, automatisch de meest privacyvriendelijke instellingen als standaard (‘default’) ingesteld staan.
Wanneer u een website opbouwt, moet u er voor zorgen dat de algemene voorwaarden zo privacy vriendelijk mogelijk worden opgesteld. Als onderneming kiest u in dit opzicht best voor een ‘opt-in’ systeem. Dit is een systeem waarbij de betrokkene expliciet en aantoonbaar zijn toestemming geeft voorafgaand aan de verzameling en verwerking van de persoonsgegevens. Dit heeft de voorkeur op een ‘opt-out’ systeem waarbij de toestemming automatisch wordt gegeven en de betrokkene later het recht heeft om zijn of haar toestemming in te trekken.
Als bedrijf moet men steeds preventieve maatregelen nemen, maar de kans blijft altijd bestaan dat er een datalek ontstaat als gevolg van een beveiligingsprobleem of door diefstal. Naast een maximale inzet op het preventieve beleid moet een onderneming ook nadenken over een mogelijke reactieve aanpak.
Zodra er zich een datalek heeft voorgedaan bestaat er immers een meldplicht. In eerste instantie moet er een melding gebeuren aan de Privacy Commissie, en dit binnen de 72 uur nadat het datalek is ontdekt. Dit moet enkel wanneer het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Wanneer het datalek mogelijks een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moeten ook de betrokkenen zelf geïnformeerd worden. Dit moet zo snel mogelijk gebeuren en in duidelijke, eenvoudige taal.
Een onderneming werkt vaak samen met, of in opdracht van, andere ondernemingen. Wanneer uw bedrijf regelmatig persoonsgegevens uitwisselt met andere ondernemingen, dan houdt u best een aantal zaken in het achterhoofd. Eerst en vooral is het belangrijk dat u, met ondernemingen waaraan gegevens worden doorgegeven, een goede verwerkersovereenkomst sluit. In dergelijke overeenkomsten maakt u afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen die zullen genomen worden, et cetera.
In de GDPR zijn er duidelijke richtlijnen terug te vinden over hoe dergelijke overeenkomsten moeten worden opgesteld. In het geval dat de onderneming waarmee u samenwerkt zich niet in België bevindt, dient u bovendien na te gaan of uw partner een passend beschermingsniveau kan waarborgen. De lijst van derde landen die een passend beschermingsniveau waarborgen is te vinden op de website van de Europese Commissie.
De GDPR verleent de Belgische Privacy Commissie de bevoegdheid om administratieve geldboetes op te leggen. Deze geldboetes kunnen behoorlijk oplopen (tot 20 miljoen euro of 4% van de omzet, wat het hoogste is..). Daarenboven vermeldt de GDPR dat de Privacy Commissie geldboetes moet opleggen die voldoende afschrikkend zijn. Het is met andere woorden niet de bedoeling dat men als kapitaalkrachtige onderneming de inbreuk zomaar kan ‘afkopen’.
Nog enkele vragen voor ons? Klaar om GDPR compliant te zijn? Super! Contacteer ons en we helpen u zo snel mogelijk verder!