GDPR compliance

De nieuwe Europese privacyregelgeving: General Data Protection Regulation (GDPR)

Sedert 25 mei 2018, is de nieuwe Europese privacyregelgeving of de GDPR van kracht.

Wat is GDPR ? Welke ondernemingen zullen GDPR moeten toepassen?

Het doel van de GDPR is een betere bescherming te verlenen aan de natuurlijke personen, bij de verwerking van hun persoonlijke gegevens.

De impact van de GDPR op uw onderneming valt niet te onderschatten.  De realiteit is immers dat veel ondernemingen, al dan niet bewust, veel van deze gegevens verwerken.  Voorbeelden daarvan zijn een klantenbestand, de werknemersadministratie, de nieuwsbrief,… 

Iedere KMO is gehouden tot het naleven van de principes en wettelijke verplichtingen binnen deze verordening. Doet u dit niet, dan kan u gesanctioneerd worden met administratieve boetes die oplopen tot 20.000.000,00 EUR. 


De 6 verplichtingen van GDPR

1. Privacy Policy

Een hoge transparantie vormt de basis van de GDPR.

De doelstelling is natuurlijke personen controle te geven over de gegevens die worden verzameld, bijgehouden en verwerkt. Dit uit zich in een Privacy Policy die opgesteld moet zijn in duidelijke  taal. Op basis van deze verplichte Privacy Policy dient ieder natuurlijk persoon ingelicht te worden over zijn rechten in verband met de verwerking, de uitoefening, de handhaving en de bescherming van zijn gegevens.

2. Verwerkingsregister

Dit is een nieuw aspect van de privacywetgeving . De vroegere privacywetgeving voorzag niet in een verwerkingsregister.

Het verplichte verwerkingsregister bestaat uit een overzicht van alle datastromen, verwerkingsprocessen en beveiligingen van de persoonsgegevens binnen uw onderneming.

Het register houdt een overzicht in van de
• Verwerkte gegevens;
• Verwerkingsprocessen;
• Gegevensbeveiliging;
• Doorgeven van gegevens;

Het verwerkingsregister is een cruciaal onderdeel van de GDPR. Het is van belang dat het altijd een correct en volledig overzicht weergeeft.
Het register laat de Privacy Commissie toe om gerichte controles uit te voeren.  Het register zal u ook omgekeerd toelaten het bewijs te leveren dat u de reglementering inzake privacy respecteert. Niet alleen tegenover de Privacy Commissie maar ook tegenover uw klanten, leveranciers,…

3. Verwerkingsovereenkomsten

Uw onderneming moet verplichte verwerkingsovereenkomsten afsluiten met de ondernemingen die de persoonsgegevens voor u verwerken. 
Dergelijke akkoorden zullen sneller van toepassing zijn dan gedacht. Bijvoorbeeld bij gegevensopslag in een Cloud, bij gebruik van een digitaal platform, bij de hosting van uw website, bij gebruik van HR-gegevens,…

4. Dataminimalisatie

De bescherming van de privacy begint reeds bij de ontwikkeling van nieuwe producten en diensten. Het uitgangspunt in de ontwikkelingsfase is de minimale verwerking van persoonsgegevens (Privacy by Design).

Daarnaast moet voorzien worden dat de standaardinstellingen van nieuwe producten of diensten privacy compliant zijn. Dit door een hoog beveiligingsniveau te voorzien. Enkel de gebruiker kan zijn beveiligingsniveau doen dalen (Privacy by Default).

5. Data Protection Officer

Verwerkt uw onderneming met de regelmaat van de klok persoonsgegevens? Dan stelt u een Data Protection Officer aan!
Een DPO kan zowel een eigen medewerker zijn of een externe persoon met wie uw onderneming een overeenkomst afsluit. Als privacy adviseur moet hij ervoor zorgen dat uw onderneming niet in de gevarenzone komt.

6. Meldplicht

Bij inbreuken op de beveiliging of datalekken (databreach) is uw onderneming verplicht dit binnen de 72 uur te melden aan de Privacy Commissie.
Databreach wordt ruim geïnterpreteerd. Dit kan gaan over het verlies van een USB stick met klantenbestanden, maar evengoed over het hacken van uw computersysteem.
Wanneer de databreach grote risico’s inhoudt voor de rechten en vrijheden van betrokken, moeten ook de betrokken personen worden ingelicht

De gevolgen voor de Privacy Rechten

De GDPR brengt niet alleen het opleggen van bijkomende verplichtingen met zich mee.  Ook de rechten van de betrokkenen worden uitgebreid.  Naast de bestaande rechten zoals het recht op verzet, het recht op toegang, het recht op informatie, enz., komen volgende rechten er nog bij:

1. Recht om vergeten te worden

“The right to be forgotten” is een recht dat in de huidige privacywetgeving terug te vinden is, ingevolge het Google/Spain arrest van het Europees Hof van Justitie.
Onder de GDPR wordt dit recht verder uitgewerkt en geformaliseerd. In een aantal gevallen hebben personen het recht om vergeten te worden. Uw onderneming wordt verplicht om deze gegevens binnen 1 maand te wissen.

2. Recht op dataportabiliteit

Dataportabiliteit is een nieuw en vooruitstrevend recht opgenomen in de GDPR.
Het betreft het recht van de persoon wiens gegevens verwerkt worden, om zijn gegevens op te vragen. Dit  in een gestructureerde, gangbare en machine leesbare vorm. Het doel is de persoonlijke gegevens over te dragen aan een andere onderneming.  De persoon kan zelfs verzoeken dat de gegevens rechtstreeks worden doorgezonden naar een andere onderneming. Zo wordt het gemakkelijker om over te stappen van de ene dienstverlener naar de andere.

Download onze White Paper GDPR

Check of uw onderneming klaar is voor GDPR. Download nu onze whitepaper!

White Paper GDPR

*De informatie die je ingeeft, zal enkel gebruikt worden voor onze eigen communicatie en blijft confidentieel. Jouw informatie wordt doorgestuurd door middel van een geëncrypteerde verbinding naar ons interne systeem en zal niet verspreid worden naar derden. Lees hier onze volledige privacy policy.

Follow us: