Binnen enkele maanden, op 25 mei 2018, gaat GDPR als Europese verordening van kracht. Deze nieuwe privacywetgeving verandert de nationale reglementeringen van alle Europese Lidstaten tot één nieuwe privacybeschermingswet. Het doel van GDPR is om een veel betere bescherming te garanderen aan natuurlijke personen, bij de verwerking van hun gegevens. Hierdoor zullen ondernemingen verplicht worden diverse aanpassingen aan hun privacy beleid door te voeren. Doet u dit niet, dan kan u als KMO een administratieve boete verwachten. Deze kan oplopen tot 20.000.000,00 EUR.

De General Data Protection Regulation en zijn toepassingsgebied

Het verwerken van gegevens is  een voorwaarde om onder de toepassing van GDPR te vallen. Het toepassingsgebied is afhankelijk van de definitie van het verwerken van persoonsgegevens (art 4,2 GDPR):

“Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, het vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, vertrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.”

Deze definitie is ruim. De Privacy Commissie verduidelijkt dat iedere KMO aan de bepalingen en principes van de GDPR zal moeten voldoen. De GDPR verandert het digitale landschap. Dergelijke veranderingen zorgen voor verregaande gevolgen.

De Territoriale toepassing van de Europese verordening is groter dan die van de Belgische Privacywet. Het betekend dat bedrijven, met verschillende vestigingen in andere Europese lidstaten, vanaf 25 mei 2018 maar aan één privacywetgeving meer moeten voldoen. Procedures inzake privacy worden gelijkgemaakt. Het vrije verkeer binnen de EU wordt eenvoudiger en minder administratief voor de bedrijven.

De keerzijde van de medaille is dat  GDPR  zorgt voor een verstrenging, uitbreiding en meer duidelijke handhaving dan de huidige Belgische Privacywet.

De fundamenten van General Data Protection Regulation

De basis van de nieuwe privacywetgeving zijn volgende pijlers: transparantie, verantwoording en dataminimalisatie.

1. Een hoge transparantie is de eerste pijler van GDPR.

De doelstelling is dat de natuurlijke persoon controle heeft over de gegevens die bijgehouden, verzameld en verwerkt worden. Aan de hand van de Privacy Policy dient ieder natuurlijk persoon duidelijk geïnformeerd te worden over de uitoefening, handhaving en bescherming van zijn rechten.

2. Verantwoording is de tweede pijler van GDPR.

Elke onderneming moet aantonen dat haar privacy beleid voldoet aan de verplichtingen van de GDPR. De verantwoording die gemaakt wordt, moet helder gedocumenteerd worden.

Dit klinkt eenvoudiger dan het is. Deze verantwoording wordt gemaakt op verschillende niveaus:

• Welke gegevens bewaard worden en voor hoelang;
• Het belang van de natuurlijke persoon (rechten en vrijheden) en het belang van de onderneming bij verwerking van gegevens (rechtvaardigheid van verwerking);
• Het al dan niet aanstellen van een Data Protection Officer (DPO). Ook al is dit niet wettelijke verplicht;
• Het al dan niet uitvoeren van een Data Protection Impact Assesment of gegevensbeschermingseffectbeoordeling (DPIA). Wat niet wettelijk verplicht is;
• Voor welke technische beschermingsmaatregelen wordt gekozen.

Als een onderneming niet voldoet aan de verplichtingen dan kan hij administratief gesanctioneerd worden. Daarom is het aangeraden om een intern verantwoordingsbeleid uit te werken.

3. Dataminimalisatie is de derde en de laatste belangrijke pijler van GDPR.

De bescherming van de privacy begint al bij de ontwikkeling van nieuwe producten en diensten. Dit concept van Privacy By Design houdt de minimale verwerking van persoonsgegevens in.

De standaardinstellingen van deze nieuwe producten zijn Privacy Compliant. Dit door te zorgen voor een hoog beveiligingsniveau. Enkel de gebruiker kan zijn beveiligingsniveau laten dalen. In vaktaal krijgt dit de naam Privacy By Default.

Welke verplichtingen moet u als onderneming volgen?

GDPR-compliant wordt de term van het jaar 2018. Uw onderneming respecteert niet alleen de principes van GDPR. Het zorgt er ook voor dat uw bedrijf voldoet aan de in de GDPR opgenomen verplichtingen.

1. Privacy Policy 

Een duidelijk privacy beleid wordt onder GDPR verplicht. Dit om ten eerste natuurlijke personen in te lichten over het hoe en het waarom van de verwerking van hun persoonsgegevens. Ten tweede om hen in te lichten over de rechten die zij kunnen uitoefenen en ten derde om hen te informeren over de bestaande klachtenprocedure. Daarbij mag u niet vergeten dat de privacy policy ook gemakkelijk raadpleegbaar hoort te zijn (op de website).

2. Register van verwerkingsactiviteiten

Het register van verwerkingsactiviteiten wordt ingevoerd onder GDPR. Het vervangt de meldplicht onder de Privacywet van de Privacy Commissie. Elke KMO valt onder het toepassingsgebied van  GDPR. Met gevolg dat iedere KMO dergelijk register moet bijhouden.

Aan de hand van dit register worden de datastromen binnen de onderneming in kaart gebracht. Daarna worden deze datastromen geëvalueerd en worden de nodige afwegingen gemaakt. Zo kan u voorzien in het juiste beschermingsniveau voor uw KMO.

Het doel van het register is dubbel. Enerzijds zorgt het register ervoor dat de zwakke punten binnen uw onderneming duidelijk worden. Zo kunt u ze vlot remediëren en aanpassen. Anderzijds laat het de Privacy Commissie toe om te controleren of uw onderneming voldoet aan GDPR (bv. verzoek tot inlichtingen).

Deze overeenkomst dient verplicht te worden opgesteld wanneer uw onderneming samen werkt met een andere organisatie, persoon of onderneming  die de persoonsgegevens voor u verwerkt.

De bescherming van persoonsgegevens is de ambitie van de nieuwe privacywet. De verwerking van persoonsgegevens is onderworpen aan dezelfde garanties inzake veiligheid en vertrouwelijkheid. Net zoals de verzameling ervan. Dergelijke overeenkomst bevat duidelijke instructies betreffende verwerking van bovengenoemde persoonsgegevens.

4. Meldplicht bij datalek 

Een datalek wordt in het kader van GDPR ruim geïnterpreteerd. Er wordt reeds van een datalek gesproken als bijvoorbeeld een USB-stick verdwijnt waar uw klantenbestand opstond. Een datalek is dus iedere vorm van onrechtmatige toegang, bewerking en verlies van de persoonsgegevens, zowel bewust als per ongeluk.

Wanneer er sprake is van een datalek dient uw onderneming binnen de 72 uur na kennisname de Privacy Commissie op de hoogte te stellen. Een bijkomende meldplicht, aan de personen wiens gegevens onderhevig zijn aan een datalek, is voorzien.  Dit wanneer de inbreuk een hoog risico meebrengt voor hun rechten en vrijheden.

Een goede voorbereiding is er twee waard voor uw onderneming. Daarom raden wij u aan om een passend intern beleid/document te creëren dat dieper ingaat op dit onderwerp.

De uitbreiding van de privacyrechten

GDPR legt niet alleen verplichtingen op maar het gaat ook de rechten van de betrokkene uitbreiden. Bestaande rechten zoals bijvoorbeeld het recht op verzet, recht op toegang en recht op informatie worden bevestigd. Deze worden uitgebreid met onderstaande rechten:

1. Recht om vergeten te worden

“The right to be forgotten”  kan je reeds terugvinden in de huidige privacywetgeving. Dit onder het Google/ Spain arrest van het Europees Hof van Justitie. Dit recht wordt onder de GDPR uitgediept. In een aantal gevallen hebben personen het recht om vergeten te worden. Uw onderneming wordt verplicht om deze gegevens binnen 1 maand te wissen.

2. Recht op dataportabiliteit

Dataportabiliteit is een nieuw recht opgenomen in GDPR.  De persoon, wiens gegevens verwerkt worden, heeft het recht om zijn gegevens op te vragen in een gestructureerde en machine leesbare vorm. Zo kan hij zijn gegevens overdragen van de ene naar de andere onderneming.

Het recht gaat verder dan dit.  De natuurlijke persoon kan verzoeken om de gegevens door te zenden naar een andere onderneming. Zo wordt het voor de betrokkene makkelijker om over te stappen van de ene dienstverlener naar de andere.

Het handhavingsbeleid onder GDPR

Om de rechten en vrijheden te vrijwaren, voert GDPR een handhavingsbeleid in. Dit geeft de nationale toezichthouder, de Privacy Commissie in België, de mogelijkheid om administratieve boetes tot 20.000.000,00 EUR of 4 % procent van de totale jaaromzet op te leggen. Daarnaast kan de Privacy Commissie, de Privacy Compliance van ondernemingen nagaan. Bijvoorbeeld door gebruik te maken van visitatie, door verzoek tot het meedelen van inlichtingen,…

De GDPR zal een ernstige aanpassing van het digitale gebeuren met zich meebrengen. Dit op mondiale schaal. Het poogt de rechten en vrijheden van natuurlijke personen te vrijwaren. Uw onderneming aanpassen aan GDPR is niet alleen een wettelijke verplichting. Indien er de nodige aandacht aan wordt geschonken en de juiste maatregelen worden genomen, kan het voor een concurrentieel voordeel zorgen

Door respect te tonen voor de persoonsgegevens van uw klanten zal uw onderneming een betere reputatie krijgen. In het huidige digitale landschap is data het nieuwe goud. Het is aan u om de pion er op in te zetten.

Mr. VERHAGHE Maarten

VDV Advocaten