Ondernemers, opgelet voor de nieuwe dwingende privacyregels!

GDPR

Ondernemers, opgelet voor de nieuwe dwingende privacyregels!

 

Met als datum van inwerkingtreding 25 mei 2018 is de nieuwe Europese privacy verordening (‘Algemene Verordening Gegegevensbescherming’, hierna ‘AVG’ of in het Engels ‘General Data Protection Regulation’) in aantocht. De AVG bepaalt wie welke gegevens mag verzamelen en hoe om te gaan met deze persoonsgegevens. Ondernemers maken zich zorgen om de impact en de kost van de nieuwe regelgeving.

 

Het is niet evident om de bomen door het bos te kunnen zien in dit kluwen van nieuwe regels. Een aantal principes moeten steeds voor ogen gehouden worden wanneer er sprake is van verwerking van persoonsgegevens zoals een naam, telefoonnummer, e-mail, vingerafdruk, … Elk bedrijf, of u nu de lokale bakker bent of een grote onderneming, dat gegevens verwerkt op eender welke manier moet hiervoor de expliciete toestemming vragen aan iedere klant en gebruiker. Deze geïnformeerde, vrije, specifieke en ondubbelzinnige toestemming is cruciaal net zoals een bepaald, uitdrukkelijk omschreven en gerechtvaardigd doel van de verwerking.

 

De AVG gaat verder dan de huidige Belgische privacywetgeving in die zin dat zij de rechten van de betrokkene uitbreidt door onder meer te voorzien in het recht op de overdraagbaarheid van gegevens. Het idee hierachter is de betrokkene zo meer controle te geven over diens gegevens. De gegevens die de betrokkene verstrekte kunnen gerecupereerd worden zodat de betrokkene bijvoorbeeld gemakkelijker van dienstenleverancier zou kunnen veranderen zoals nu reeds gemakkelijk van telefoonoperator veranderd kan worden. Dit overdraagbaarheidsbeginsel geldt enkel in geval van een gegevensverwerking die berust op uw toestemming of op een overeenkomst, en dus niet op basis van een wet. De betrokkene kan ofwel zelf zijn gegevens aan de nieuwe verwerkingsverantwoordelijke doorgeven of hij kan vragen, indien technisch mogelijk, om zijn persoonsgegevens direct door te geven van de ene verwerkingsverantwoordelijke aan de andere.

 

De AVG voorziet ook in de figuur van de functionaris voor gegevensbescherming, ook wel de Data Protection Officer (DPO) genoemd. Deze DPO ziet toe op de gegevensverwerking binnen de organisatie. Is uw onderneming een overheidsinstantie of heeft zij als kernactiviteit een regelmatige en stelselmatige observatie op grote schaal van personen of de verwerking op grote schaal van gevoelige gegevens en misdrijven, dan is de aanstelling van een DPO verplicht.

De AVG verplicht ondernemingen om een interne documentatie (het data register) bij te houden van de verwerkingsactiviteiten. Zulk register is geheel nieuw en het is dan ook begrijpelijk dat ondernemingen niet onmiddellijk weten hoe hieraan te beginnen. De Privacycommissie stelt daarom een Registermodel ter beschikking van de verwerkingsverantwoordelijken om de onderneming bij te staan in de opmaak van hun Register. Elegis is vanzelfsprekend altijd beschikbaar voor het verlenen van het nodige juridische advies hierover opdat het dataregister zal beantwoorden aan de vereisten van de AVG.

Kortom, er is nog heel wat werk aan de winkel. Te meer omdat de Privacycommissie zeer hoge administratieve geldboetes tot 20 miljoen euro kan opleggen moet elke Belgische onderneming zich bewust zijn van de impact van de AVG. Het aanmaken van een dataregister, de nodige communicatie naar werknemers en betrokken klanten toe, het naleven van de rechten van de betrokkene, het vastleggen van een procedure ter opsporing, rapportering en onderzoek van datalekken alsook een eventuele DPO zijn cruciaal. Elegis zal zonder twijfel elke Belgische en buitenlandse onderneming hierin bijstaan met het correcte juridische advies. Aarzel evenwel niet te lang want 25 mei 2018 is morgen!

Laura Beeckman

Annemie Coox