GDPR: nieuwe regelgeving voor de "gegevensbescherming"

Op 25 mei 2018 wordt de nieuwe General Data Protection Regulation (GDPR) van kracht. Deze Europese verordening legt ondernemingen die persoonsgegevens verwerken, beheren en/of bewaren, strengere regels op. Ook uw bedrijf!

In mei 2017 organiseerden we een workshop voor mazoutverdelers. Dominique Pissoort en Sofie Dejager, consultants bij Privact, een bedrijf dat gespecialiseerd is in de materie rond het beheren van persoonsgegevens, gaven daarbij meer details over de toepassing van die verordening, die geldt voor alle ondernemingen – dus ook voor middelgrote en kleine bedrijven – aangezien gewoon al het bijhouden van de gegevens van klanten onder de nieuwe regels valt.

Nuttige informatie

We hebben een eerste selectie van nuttige informatie en documenten voor u gemaakt. Bekijk aandachtig de volgende links.

Nieuwe rechten voor personen

 Een Europese richtlijn uit 1995 gaf personen die in een databank zijn opgenomen, al het recht om daarvan op de hoogte gebracht te worden, er toegang toe te krijgen, hun gegevens aan te passen en zich ertegen te verzetten. Maar de GDPR gaat nog een stap verder en kent die personen nieuwe rechten toe:

a)    Geautomatiseerde besluitvorming en profiling.

Iedere persoon heeft het recht om niet te worden onderworpen aan een volledig geautomatiseerde besluitvorming. Indien die individuele beslissing juridische gevolgen heeft voor de rechten van de persoon (bijvoorbeeld omdat die tot gevolg heeft dat de betrokkene een lening wordt geweigerd of dat die lening hem wordt aangeboden aan minder voordelige voorwaarden), moet worden verzekerd dat die persoon niet uitsluitend te maken krijgt met het automatisch door een computer berekend resultaat, maar dat hij:

  • de mogelijkheid heeft om menselijke tussenkomst te bekomen;
  • zijn standpunt kan duidelijk maken;
  • uitleg kan krijgen omtrent de besluitvorming en dit kan betwisten.

Het recht geldt niet wanneer de besluitvorming nodig is om een overeenkomst aan te gaan of uit te voeren, wettelijk is toegestaan of gebaseerd is op uitdrukkelijke toestemming.

We merken hierbij op dat dit geval nauwelijks van toepassing is op onze sector. De beslissing om bijvoorbeeld iemand een contract voor gespreide betalingen aan te bieden voor de levering van mazout, wordt meestal genomen door de mazoutverdeler zelf, op basis van zijn relaties met de betrokkene en niet op basis van automatisch door een computer berekende score.

Maar opgelet: dit geval mag niet worden verward met het opstellen van een marketingprofiel om te bepalen wie reclame ontvangt (in de wetenschap dat zelfs wie deze promotie niet heeft gekregen, er gewoon op aanvraag van kan profiteren). Uiteraard moeten de personen er, zoals hiervoor beschreven, van op de hoogte worden gebracht en moet er een ‘opt-out’ worden voorzien waardoor de betrokkenen kunnen vragen om uit de lijsten van geadresseerden te worden verwijderd.

b)    Recht op verwijdering.

In bepaalde gevallen heeft de persoon het recht om al zijn persoonsgegevens te laten verwijderen.

c)    Recht op beperking van de gegevensverwerking.

De betrokkene heeft het recht om van de verantwoordelijke voor de gegevensverwerking een beperking van die gegevensverwerking te verkrijgen wanneer bijvoorbeeld de juistheid van de persoonsgegevens betwist wordt, de verwerking ervan onwettig is of wanneer de verantwoordelijke voor de verwerking de gegevens niet meer nodig heeft.

d)    Recht op overdraagbaarheid van gegevens.

De betrokkene heeft het recht om de persoonsgegevens die hij heeft verstrekt, op een veilige en beveiligde manier te laten overdragen naar een andere verwerker.

Nieuwe verplichtingen voor bedrijven

In tegenstelling tot wat velen denken, verbiedt deze nieuwe verordening niets, maar schrijft ze meer transparantie voor bij het verwerken van persoonsgegevens. Daarvoor wordt het bestaande wettelijke kader uitgebreid, zodat ieder bedrijf alle persoonsgegevensstromen moet inventariseren en duidelijke procedures moet invoeren die instaan voor een optimale bescherming van de gegevens. Met gegevensstromen wordt het parcours bedoeld van het verzamelen van de gegevens tot het verwerken ervan. Voor iedere gegevensstroom moet een bedrijf in detail beschrijven hoe de gegevens werden verzameld, waarvoor ze precies worden gebruikt, wie er toegang toe heeft en hoe lang ze worden bewaard. Deze inventarisatie of audit heeft tot doel om de bedrijven te beschermen in het geval van een controle en om aan te tonen dat ze er alles aan hebben gedaan om een maximale bescherming van de persoonsgegevens in hun bezit te garanderen.

Een van de grootste verschillen met de huidige situatie is dat de Commissie voor de Bescherming van de Persoonlijke Levenssfeer meer bevoegdheden krijgt. Ze zal namelijk ook actief controleren of de nieuwe regels worden nageleefd. Behalve strafrechtelijke sancties mag ze voortaan ook administratieve geldboetes uitschrijven. Bedrijven die geen rekening houden met de nieuwe verordening, riskeren boetes van 2 tot zelfs 4% van hun omzet. Maak dus dat u zo snel mogelijk in orde bent met de nieuwe verordening!

Zeker doen!

  1. Hou een inventaris bij van alle gegevensstromen, samen met de gedetailleerde doelstelling die ze beogen.
  2. Behandel de geregistreerde gegevens op rechtmatige en transparante wijze.
  3. Registreer enkel de noodzakelijke data en houd ze niet langer bij dan nodig. Daarnaast moet voor iedere gegevensstroom een redelijke bewaartermijn worden vastgelegd. Dat betekent dat u gegevens die u niet meer nodig hebt voor uw activiteit, bijvoorbeeld adressen van mensen die niet langer klant bij u zijn, na deze termijn moet verwijderen.
  4. Tref passende veiligheidsmaatregelen om de gegevens in kwestie te beschermen.
  5. Informeer duidelijk de personen van wie gegevens worden bijgehouden. De optie ‘opt-in’, waarbij de persoon zijn toestemming geeft om opgenomen te worden in uw databank, moet voortaan zo expliciet mogelijk zijn over het gebruik van zijn gegevens.
  6. Werk een intern gegevensbeschermings- en privacybeleid uit.
  7. Duid iemand aan als verantwoordelijke voor de gegevensbescherming en privacy. Die persoon ziet toe op de invoering van de procedures en de naleving ervan door AL uw medewerkers. Hij staat ook in voor het sensibiliseren van de teams, want sancties kunnen u letterlijk duur te staan komen. Niet ieder bedrijf heeft de middelen om een specialist terzake aan te nemen of intern iemand op te leiden. Daarom zijn er consultancybureaus die de expertise van een extern Data Protection Officer (DPO) aan bedrijven aanbieden.

Zeker niet doen!

  1. Onderschat de GDPR niet. Ook kleine ondernemingen moeten aan de regelgeving voldoen en kunnen worden beboet.
  2. Beperk de verantwoordelijkheid niet tot uw IT-dienst. Om goed om te gaan met GDPR is een bewustmakingsproces in heel uw organisatie nodig.
  3. Schuif uw GDPR-verantwoordelijkheid niet af op uw provider als u gegevens 'in the cloud' bewaart. U bent verantwoordelijk voor de data die u gebruikt.
  4. Vergewis u ervan dat de servers die gebruikt worden voor de opslag van uw gegevens, wel degelijk in Europa staan. Anders moet u met uw host door de Europese Commissie opgelegde contractuele clausules ondertekenen.
  5. Bekijk GDPR niet als een probleem. Zie het als een opportuniteit om uw klanten te contacteren, om hun gegevens te verifiëren en deze eventueel aan te vullen.

Bekijk ook onze GDPR-presentatie