GDPR
Op 14 april 2016
werden in het Europees parlement de nieuwe regels gestemd aangaande het omgaan
met en de bescherming van privé- of persoonsgegevens. Het gaat om de zgn. General Data Protection Regulation, of
de ‘GDPR’. Aangezien het gaat om een Europese verordening, zal de GDPR van
toepassing zijn in alle Europese lidstaten. Al de nationale wetgevingen omtrent
privacy zullen tegen 25 mei 2018 vervangen worden door de GDPR, die aan
de Privacy Commissie meer bevoegdheden zal geven om controles uit te voeren en
instanties, ondernemingen of personen te sanctioneren, mochten zij zich niet in
regel stellen.
Hoewel
deze nieuw privacywetgeving pas in mei 2018 officieel van kracht wordt, kan u
best nu al de nodige (voorzorgs)maatregelen treffen.
Iedereen die
persoonsgegevens bijhoudt of verwerkt van klanten, contractspartijen,
leveranciers,... moet zich aan de nieuwe regels conformeren. Of u nu een groot
bedrijf hebt, of een kleine (pas opgestarte) eenmanszaak: niemand ontsnapt aan
de GDPR.
1. Hoe moet u
persoonsgegevens vanaf mei 2018 bijhouden?
Het verzamelen
van persoonsgegevens kan niet iedereen zomaar doen. Dat was onder de vorige/nog
geldende wetgeving ook wel al zo, maar het wordt onder de GDPR allemaal wat
strikter en strenger.
a. (Welke) persoonsgegevens?
Het gaat om elke
vorm van informatie die (on)rechtstreeks naar een natuurlijke persoon kan
leiden. Dat is heel breed. Niet alleen de (persoons)gegevens die u op papier
hebt staan, maar ook de digitale gegevens van een klant (denk bijvoorbeeld maar
aan zijn/haar IP-adres, gebruikersnamen,...), beeld- en klankmateriaal,
locatiegegevens, social media gegevens, gegevens over de betrokkene zijn
medische geschiedenis, zijn (politieke) voorkeuren, zijn lidmaatschap bij een
vakbond, zijn kredietwaardigheid,...
De GDPR viseert
trouwens persoonsgegevens. Alle data
van rechtspersonen die u in uw systeem hebt staan vallen hier dus niet onder.
Aan te stippen
valt ook dat het niet alleen om gegevens van uw klanten gaat, maar ook om
gegevens die u verzamelt van uw leveranciers, personeel,...
Kortom, van
zodra u persoonsgegevens in de meest ruime betekenis bijhoudt (hoe klein uw
databank ook is of hoe weinig u ook bijhoudt), valt u onder de GDPR.
b. Toestemming van de klant om de persoonsgegevens
te verwerken
Vanaf mei 2018
hebt u een weloverwogen toestemming nodig om de persoonlijke gegevens van de
klant te gebruiken. Dat wil zeggen dat u op geen enkele wijze en voor geen
enkel doel aan verwerking van persoonsgegevens mag doen, zonder dat de
individuele klant daarvan op de hoogte is en daarmee uitdrukkelijk heeft
ingestemd. Die toestemming moet vrijwillig, onmiskenbaar, actief, geïnformeerd
en voor elk specifiek, individueel doel worden gegeven.
Die verplichting
geldt ongeacht of de gegevens rechtstreeks van de klant komen of onrechtstreeks
werden verkregen.
Om de gegevens van minderjarigen (jonger dan 16 jaar) te verzamelen, hebt
u de toestemming van ouders of voogd nodig. Uw privacyverklaring moet dus ook
begrijpelijk opgesteld worden voor minderjarigen.
Ten slotte moet
u er ook nog rekening mee houden dat de instemming door de klant gewoon kan
ingetrokken worden.
c. Verwerken?
Iedere al dan
niet (geheel of gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens
wordt geviseerd door de GDPR. Het ‘verwerken’ moet u opnieuw erg breed
interpreteren. Het gaat om de verzameling, de bewaring, de ordening, de
aanpassing, het gebruik, de consultering, de verspreiding, het samenbrengen en
met elkaar in verband brenging, het wissen, afschermen, vernietigen... van
gegevens. U mag er gerust van uitgaan dat, indien er iets gebeurt met de
gegevens, u zal onderworpen zijn aan de GDPR
d. Rechten van de betrokkenen m.b.t. de
persoonsgegevens
Nadat de
toestemming werd gegeven, heeft de persoon van wie u de gegevens bijhoudt, een
heel aantal rechten die u moet respecteren.
Zo is er in
eerste instantie het recht op informatie
en om toegang te krijgen tot de bijgehouden persoonsgegevens. De persoon
van wie u gegevens bijhoudt, heeft het recht om bijkomende informatie te
ontvangen over o.a.:
·
de bron van de persoonsgegevens
·
de verwerkingsinformatie (wie
zijn de ontvangers van de informatie, waar wordt de data verwerkt, wat is het
doel van de verwerking,...)
·
de termijnen gedurende dewelke u
informatie bijhoudt
·
de beoogde gevolgen van de
verwerking
·
de bevestiging of het gaat om
een geautomatiseerde verwerking van de gegevens
U moet een
gratis kopie verstrekken van de verwerkte persoonsgegevens, en dit in principe
uiterlijk vier weken na het verzoek.
Indien men merkt
dat er bepaalde informatie foutief of onvolledig werd opgeslagen, kan men u verzoeken om de gegevens te verbeteren of
te vervolledigen. U moet in principe binnen de maand op dit verzoek reageren.
U moet ook derden aan wie deze gegevens werden bezorgd, hierover informeren en
aan de betrokkene meedelen aan welke derden de persoonsgegevens werden doorgestuurd.
Daarnaast kan men u vragen om de gegevensverwerking te beperken.
Tenzij wettelijk bepaald of indien het
noodzakelijk is voor de uitvoering van de overeenkomst en indien men ernstige
en gerechtvaardigde redenen kan doen gelden, kan de persoon van wie u gegevens
bijhoudt zich verzetten tegen een
(geautomatiseerde) verwerking van zijn gegevens. Houdt u bijvoorbeeld
gegevens bij in functie van direct
marketing, dan kan de betrokken persoon zich zelfs kosteloos en zonder
verantwoording tegen de verwerking van zijn gegevens verzetten. Dit recht moet uitdrukkelijk
opgenomen zijn in de privacy policy van uw bedrijf. Direct marketing slaat op een vorm van marketing
waarbij een bedrijf rechtsreeks individuele
(potentiële) klanten benadert.
Verder
zijn er ook nog regels rond profilering van klanten/prospecten, in die zin dat
men zich kan verzetten tegen elke vorm van geautomatiseerde verwerking van persoonsgegevens
waarbij bepaalde aspecten van een natuurlijke persoon worden geëvalueerd met de bedoeling om zijn/haar beroepsprestaties, economische
situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid,
gedrag, locatie of verplaatsingen te analyseren of te voorspellen.
Daarnaast is er het
recht om onmiddellijk verwijderd te worden of zelfs vergeten te
worden, dat voor een specifiek aantal gevallen geldt (zoals
bijv.
wanneer de persoonsgegevens niet langer nodig zijn voor de
doeleinden
waarvoor zij verzameld zijn). U moet
met andere woorden in staat zijn om op eenvoudig verzoek alle gegevens van de
betrokken klant te verwijderen. Het recht om vergeten te worden vereist van u
dat u al het redelijke moet doen om partijen aan wie u de gegevens hebt
doorgegeven ertoe aan te zetten om verwijzingen naar of koppies van die
persoonsgegevens te wissen. Als onderneming moet u er zeker van zijn dat,
wanneer men hierom verzoekt, de persoonsgegevens op een correcte en efficiënte
manier worden verwijderd.
Er werd voorzien
in de mogelijkheid om in een aantal gevallen de vraag tot verwijdering te weigeren.
Nieuw is ten
slotte dat de persoon van wie u gegevens bijhoudt, het recht heeft om zijn of haar persoonsgegevens te laten overdragen
aan een andere verwerker. De gegevens moeten gratis worden overgedragen, in
principe opnieuw binnen een tijdspanne van een vier weken, in een
gestructureerde, gangbare en leesbare vorm. Dit kan enkel voor gegevens die de
betrokken persoon heeft verstrekt gebaseerd op toestemming of na overeenkomst.
2. Welke acties moet u (mogelijks) ondernemen
binnen uw bedrijf?
Het zal een hele
aanpassing van uw systeem vragen om de rechten van diegene wiens gegevens u
bijhoudt te vrijwaren. Daarom zal u binnen uw onderneming een aantal
aanpassingen moeten doorvoeren.
Vooreerst zal
ieder bedrijf die persoonsgegevens verwerkt, een register voor verwerkingsactiviteiten moeten bijhouden. Iedere
verwerking die gebeurt of die de betrokkene van u verlangt om door te voeren
(cfr. rechten hierboven uiteengezet), zal u moeten bijhouden in een bestand.
De GDPR bepaalt
verder dat bij verlies of diefstal van
gegevens, de overheid en de betrokken personen in principe onverwijld (en
alleszins binnen de 72 uur) verwittigd moeten worden.
Voorts moet er
in welbepaalde gevallen een DPO (Data Protection Officer) aangesteld
moeten worden. Die functie kan bekleed worden zowel door een werknemer als een
externe consultant. Aangezien deze verplichting geldt bij gegevensverwerking op
grote schaal zal een kmo hier in principe niet mee te maken krijgen.
Tot slot is er ook nog de DPIA (Data Protection
Impact Assessment),
hetgeen inhoudt dat u als ondernemer in de spiegel moet kijken en analyseren hoe u met data omgaat en welke
risico’s op verlies of diefstal van data u loopt. Op basis van de bevindingen
van die veiligheidsaudit moet er dan een actieplan opgezet worden om risico’s te beperken. Opnieuw gaat het om een verplichting waar
maar weinig kmo’s mee in aanraking zullen komen. Enkel als er aan
gegevensverwerking op grote schaal wordt gedaan, moet er een DPIA opgemaakt
worden.