GDPR, ook voor u (en ons). Strengere Europese wetgeving over gegevensbescherming treedt volgend jaar in werking.



Bram Baert
Advocaat - vennoot

U ontvangt wellicht om de haverklap communicatie over de Algemene Verordening Gegevensbescherming (AVG), beter bekend als de General Data Protection Regulation (GPDR). Deze verordening, zeg maar Europese wet, beoogt in essentie de bescherming van de privacy van de Europese burger. Ze legt heel wat meer verplichtingen op dan onder de bestaande privacywetgeving. Vaak wordt gedacht dat de GDPR bedoeld is voor multinationals, bedrijven zoals Facebook en Google. Het toepassingsgebied is echter veel ruimer. Ook uw onderneming moet zich vóór 25 mei 2018 schikken naar de GDPR. Hieronder lichten we de hoofdlijnen toe.

Toepassingsgebied

De verordening is van toepassing op elke vorm van verwerking van persoonsgegevens. Zodra u op de een of andere manier, al is het maar kortstondig, informatie over fysieke personen opslaat of gebruikt die toelaat de betrokken personen te identificeren, dient u de verordening na te leven. Typische voorbeelden van persoonsgegevens zijn een naam, een nationaal nummer, adresgegevens, een telefoonnummer (ook een rechtstreekse lijn op het bedrijf). Ook een IP-nummer, een e-mailadres (zelfs als dat alleen professioneel gebruikt wordt) en biometrische informatie zoals een vingerafdruk vormen persoonsgegevens. Wat dan met uw persoonlijke adresboekje, al dan niet in digitale vorm? Geen nood, de verordening maakt een uitdrukkelijke uitzondering voor de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden.

Rechtmatigheid

Persoonsgegevens mogen maar verwerkt worden als daar een wettelijke, in de verordening voorziene basis voor bestaat. Verwerking van persoonsgegevens is onder meer toegelaten als dat vereist is voor de uitvoering van een overeenkomst met de betrokken persoon of op grond van een wettelijke verplichting die op uw onderneming rust. Vaak echter zal de toestemming van de betrokken personen nodig zijn om informatie te verwerken. Deze toestemming dient specifiek en geïnformeerd te zijn en door de betrokkene vrij verleend te worden. Deze laatste vereiste kan onder meer problemen stellen als u als werkgever de toestemming van uw werknemer nodig heeft. Vraag is immers of een werknemer die onder het gezag van zijn werkgever staat, een vrije toestemming aan zijn werkgever kan verlenen.

Bovendien mogen persoonsgegevens maar gebruikt worden voor specifieke doeleinden, die op voorhand bepaald moeten zijn. Wat u verzamelt aan gegevens moet noodzakelijk zijn voor deze doeleinden. Zo is het beroep van een persoon vaak een overbodig gegeven en de verwerking ervan niet toegelaten.

Concreet moet elke onderneming in kaart brengen welke persoonsgegevens worden bijgehouden, waarvoor die gebruikt worden en of er een afdoende wettelijke basis voor de verwerking bestaat.

Een dataregister voor iedereen

De verordening legt het bijhouden van een register van de verwerkingsactiviteiten op. Hoewel sommige ondernemingen met minder dan 250 werknemers daaraan kunnen ontsnappen, adviseert de Privacycommissie (die herdoopt wordt tot Gegevensbeschermingscommissie) elke onderneming zo’n register aan te leggen. In dit register moeten onder meer de verwerkingsdoeleinden omschreven worden en dienen de categorieën van personen van wie gegevens worden bijgehouden, de categorieën van persoonsgegevens en de categorieën van ontvangers te worden bepaald. Op haar website stelt de Privacycommissie een model van register ter beschikking.

Beveiligingsmaatregelen

Het register dient, indien mogelijk, ook een algemene omschrijving van de (technische en organisatorische) beveiligingsmaatregelen te omvatten. Het nemen van passende beveiligingsmaatregelen is een van de meest fundamentele verplichtingen onder de GDPR.
De verordening geeft onder meer versleuteling en pseudonimisering van persoonsgegevens als maatregelen op. Pseudonimisering houdt in dat de gegevens maar aan een specifieke persoon gekoppeld kunnen worden met bijkomende informatie, die apart bewaard dient te worden. Andere maatregelen zijn het voorzien van adequate back-upoplossingen of noodvoeding. Ook procedures om de maatregelen te testen en te evalueren behoren daartoe.

Welke maatregelen passend zijn, moet beoordeeld worden in functie van de risico’s die verbonden zijn aan de verwerking. De verordening voorziet wel in de mogelijkheid om aan te sluiten bij een goedgekeurde gedragscode of uw onderneming te laten certificeren.

Ook een functionaris voor gegevensverwerking?

Sommige ondernemingen dienen een functionaris voor gegevensverwerking (een data protection officer of DPO) aan te stellen. Dit moet in principe maar in specifieke omstandigheden, zoals wanneer de verwerking regelmatige en stelselmatige observatie op grote schaal van de betrokken personen vereist of als er sprake is van grootschalige verwerking van bijzondere categorieën van gegevens, zoals strafrechtelijke veroordelingen en strafbare feiten. Toch adviseert de Privacycommissie ook als dat niet verplicht is een functionaris voor gegevensverwerking aan te stellen. De DPO moet zowel juridisch (op het gebied van de GDPR) als technisch (inzake gegevensbescherming) onderlegd zijn. Een van zijn taken is informeren en adviseren over de GDPR-verplichtingen.

Rechten van de betrokkenen en privacyverklaring

De verordening breidt ook de rechten van de betrokken personen ten aanzien van de bestaande privacywetgeving aanzienlijk uit. Als persoonsgegevens worden verzameld, dient de betrokken persoon onder meer geïnformeerd te worden over de doeleinden waarvoor de gegevens bestemd zijn, de rechtsgrond voor de verwerking en hoelang de gegevens bewaard zullen worden (of de criteria om die termijn te bepalen). De betrokken personen moeten ook geïnformeerd worden over hun rechten. Het betreft onder meer het recht op inzage en correctie van gegevens, het recht om het gebruik van gegevens te beperken en het recht op wissing van gegevens. Dit laatste bestaat bijvoorbeeld wanneer de gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor ze verzameld werden. Bepaalde informatie kan opgenomen worden in een zogenaamde privacyverklaring, die onder de bestaande wetgeving al wijdverspreid is, maar aan de verordening zal moeten worden aangepast.

Overgangstermijn tot 25 mei 2018

De verordening trad in 2016 al in werking, maar voorziet in een overgangsperiode tot 25 mei 2018. Vanaf 25 mei 2018 dient ook uw onderneming GDPR compliant te zijn.

De sancties die de verordening bepaalt, moeten u ertoe aanzetten de GDPR ook effectief na te leven. Inbreuken kunnen leiden tot administratieve boetes tot 20 000 000 euro of 4% van de wereldwijde jaaromzet van uw onderneming. De verordening laat aan de lidstaten bovendien de mogelijkheid bijkomende sancties op te leggen voor inbreuken die niet door de administratieve boetes gesanctioneerd worden.