door Evelien Callewaert
Voor heel wat ondernemingen lijkt privacy op het eerste gezicht nogal een ver-van-mijn-bedshow. Toch blijkt dit niet het geval te zijn. Elke onderneming, hoe groot of hoe klein, gebruikt en bewaart namelijk elke dag persoonsgegevens. Vanaf 25 mei 2018 komen er daarom nieuwe Europese privacyregels die een niet te onderschatten impact kunnen hebben op de werking van uw bedrijf. We hebben het hier over de 'GDPR' of de General Data Protection Regulation. U bereidt zich dus maar beter voor...
De vraag is uiteraard hoe u dit het beste doet. Rekening houdend met de complexiteit van de wetgeving en dat GDPR steeds een "work in progress" zal blijven in de toekomst, laat u zich nu en in de toekomst best bijstaan door een GDPR-specialist. Toch willen wij u een aantal aandachtspunten meegeven die een rode draad vormen in deze verordening. Ook de Privacycommissie beschouwt vele van deze aandachtspunten als cruciaal in haar stappenplan.
Medewerkers binnen een bedrijf vormen nog steeds een zwakke schakel, zeker als zij niet op de hoogte zijn van de aankomende veranderingen. Informeer hen via trainingen en workshops en hou de attesten van deze opleidingen ook bij als bewijs bij een eventuele controle. Zo kan u steeds aantonen dat u met het GDPR-proces bezig bent. Bovendien moeten zij kunnen inschatten welke gevolgen van deze nieuwe wetgeving belangrijk zijn voor de goede werking van uw bedrijf.
Leg een dataregister aan en breng in kaart welke persoonsgegevens u bijhoudt, waar deze vandaan komen en met wie u deze hebt gedeeld. Dit dataregister is het basisdocument en zal als eerste opgevraagd worden bij een eventueel datalek om te bewijzen dat u de regels hebt gevolgd. Hou dit steeds up-to-date, aangezien elke wijziging met betrekking tot gegevensverwerking in de toekomst hierin weerspiegeld moet worden. Als u hierover geen overzicht meer heeft, kan het steeds nuttig zijn om hiervoor een audit te laten uitvoeren door een specialist.
Mag ik nog persoonsgegevens verwerken? Uiteraard, maar het is wel raadzaam om de wettelijke grondslagen te documenteren bij de verschillende types van gegevensverwerking. De vijf grondslagen hiervoor zijn het noodzakelijk karakter voor de uitvoering van een overeenkomst, de behartiging van een gerechtvaardigd belang, het voldoen aan een wettelijke verplichting, de vervulling van een taak van algemeen belang of de bescherming van de vitale belangen van de betrokkene. Als geen enkele van deze grondslagen van toepassing is, hebben we nog als zesde "de toestemming"( zie verder). Bekijk ondertussen ook hoe lang u gegevens bewaart en voor welke doeleinden. Heb ik deze gegevens wel echt allemaal nodig? Moet ik deze echt levenslang bij te houden? Wees kritisch hierin en documenteer waarom.
Op basis van al het voorgaande nuttige onderzoek dat u heeft uitgevoerd, moeten we naar de buitenwereld toe alle documenten juridisch in orde brengen en dit kenbaar maken. Hou daarom uw (al dan niet bestaande) privacyverklaring eens tegen het licht. Bekijk ook meteen uw algemene voorwaarden, bestelbonnen, overeenkomsten met leveranciers, onderaannemers en personeelsdocumenten en breng ze in overeenstemming met de nieuwe wetgeving.
Als u niet over één van de vijf grondslagen beschikt (zie punt 3), zal het belangrijk zijn om de toestemming verkregen te hebben. Net zoals in de huidige privacywet, moet de toestemming van betrokkenen onder de GDPR "vrij, specifiek, geïnformeerd en ondubbelzinnig" te zijn. De toestemming van de betrokkene moet nu echter ook op een duidelijke wijze blijken uit een verklaring of een actieve handeling.
Hier zal vanaf 25 mei vaak het schoentje knellen. Bestaande mailinglijsten die verkregen zijn op basis van vooraf aangevinkte toestemmingen of een algemene toestemming door aanvaarding van algemene voorwaarden, zullen vaak niet meer geldig zijn. Het is dus raadzaam om je bestaande database eens te evalueren op basis hiervan. Het vragen van nieuwe toestemmingen dringt zich dus op. Registreer en bewaar deze nieuwe toestemmingen zorgvuldig. Let ook op voor de juiste toestemming bij minderjarigen (ouders, voogd).
In de nieuwe verordening zijn heel wat rechten opgenomen die een burger heeft over zijn persoonsgegevens. Het gaat bijvoorbeeld om:
• Recht op informatie en toegang tot persoonsgegevens;
• Recht op verbetering én verwijdering van gegevens (Right to be forgotten);
• Recht op overdraagbaarheid van de gegevens in een normale gangbare drager, zelfs naar concurrenten.
Al deze rechten houden uiteraard ook verplichtingen in voor u als ondernemer. Zorg ervoor dat u de nodige procedures hiervoor voorzien hebt en dat u deze ook in uw privacyverklaring kenbaar maakt.
Bij nieuwe software/producten/processen/website is het ook best om steeds een Privacy Impact Assessment te organiseren om de overeenstemming met de nieuwe wetgeving te analyseren.
Het is bovendien een ideaal moment om uw bestaande toegangsprocedures, email- en wachtwoordpolicy te screenen.
Als er zich ooit een ernstig datalek voordoet, bent u voortaan verplicht om de Privacycommissie in te lichten binnen de 72 uur na de vaststelling. Voorzie daarom een beveiligingsbeleid. Hoe gaat u dit aanpakken als het zich voordoet, zonder in paniek te slaan? De wetgeving vereist immers dat u dit voorzien heeft. Voorzie tevens adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. U zal ook na het datalek een plan van aanpak voor de toekomst moeten overmaken aan de bevoegde autoriteit. U kan voor dit alles beroep doen op een Cyber Security Specialist.
Last but not least, raden wij aan - hoewel dit niet altijd verplicht is - binnen het bedrijf iemand aan te stellen die toeziet op het naleven van de databeschermingsregels en u als bedrijfsleider(s) zal bijstaan bij al het voorgaande. Deze persoon kan zowel binnen uw bedrijf als via een externe provider aangesteld worden. Om zijn onafhankelijkheid te bewaren rapporteert hij best rechtstreeks aan het bestuursorgaan.
Dit nieuwe beroep, die zowel een juridische als IT-matige opleiding vereist, zal een key-person vormen nu en in de toekomst binnen uw bedrijf.
Moeten we ons nu echt grote zorgen maken? Uiteraard zijn er de niet mis te verstane boetes. Beheert u bijvoorbeeld uw gegevens op de foute manier, vergeet u een datalek te melden of weigert u een risico-assessment te houden, dan kan de boete oplopen tot wel vier procent van uw jaarlijkse omzet. En dat bedrag houdt u waarschijnlijk liever voor uzelf. Zeg ook niet te gauw dat dit bij u niet kan gebeuren. Een misnoegde concurrent, klant, zakenpartner of ex-werknemer zou dit kunnen aangrijpen als basis voor een klacht.
Maar u kan dit verhaal ook positief benaderen en dit moment aangrijpen als een opportuniteit om te bezinnen over hoe u vandaag gegevens bijhoudt, hoe u die gebruikt en hoe het staat met de bescherming ervan. Het is dus voor u als bedrijf steeds een zinvolle oefening om uw (marketing)procedures, interne processen en documentatie te optimaliseren en te bekijken of uw gegevens al dan niet voldoende beveiligd zijn.
Toegegeven, deze nieuwe wetgeving zal in het begin stevige inspanningen vereisen, maar u kan er als ondernemer op lange termijn alleen maar beter en efficiënter van worden.
Evelien Callewaert
Senior Advisor Legal evelien.callewaert@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.