door Evelien Callewaert en Karlien Van Melkebeek
Op 25 mei 2018 ging de General Data Protection Regulation, kortweg GDPR, van start. Hoewel er in ons land het voorbije jaar niet al te veel gebeurd is, komt daar het komende jaar zonder twijfel verandering in. En dus bent u maar beter goed voorbereid. Met deze handige checklist gaat u snel na of uw bedrijf vandaag al GDPR-compliant is of niet.
Persoonsgegevens worden volgens de GDPR omschreven als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Het gaat hier dus om alle gegevens waarmee een persoon kan worden herkend, denk maar aan een iemands IP-adres, e-mail, naam of woonplaats. Ook persoonlijke informatie over uw werknemers of bedrijfscontacten worden als persoonsgegevens gezien.
Het register van verwerkingsactiviteiten kan als de basis van elk GDPR-beleid worden gezien. Het is dan ook onmisbaar wanneer u GDPR-compliant wilt zijn. Bovendien moet uw bedrijf steeds voldoen aan vijf vuistregels en de daarbij horende verantwoordingsplicht. De vuistregels zijn (1) doelbinding, (2) juistheid, (3) transparantie, (4) gegevensminimalisatie en opslagbeperking, en (5) integriteit en vertrouwelijkheid. Hieraan kan alleen voldaan worden met een register van verwerkingsactiviteiten.
Maak een privacyverklaring op waarin transparant wordt weergegeven welke gegevens er verwerkt worden en waarom. Geef ook aan welke rechten de betrokkene, of de persoon van wie u gegevens verzamelt, kan uitoefenen. Vergeet ook zeker uw cookie-statement en -verklaring niet.
Als bedrijf mag u enkel persoonsgegevens verwerken wanneer u aan één van de volgende verwerkingsgronden voldoet:
Volgens de GDPR moet de toestemming van een betrokkene steeds het gevolg zijn van een duidelijke actieve handeling, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Bovendien moet de betrokkene zijn toestemming ook weer eenvoudig kunnen intrekken.
Het is belangrijk dat u de nodige veiligheidsmaatregelen treft om de persoonsgegevens te beschermen. De Gegevensbeschermingsautoriteit (GBA) publiceerde hierover dan ook bepaalde richtlijnen. Mocht er toch een gegevenslek plaatsvinden, dan moet u dit zo snel mogelijk melden bij de bevoegde autoriteit.
Zorg ervoor dat u van bij de beginfase van een verwerkingsactiviteit gegevensbescherming inbouwt. Ga steeds uit van een “risked based approach” en doe wanneer nodig een Data Protection Impact Assessment (DPIA), ook wel gekend als effectenboordeling.
Stel een data protection officer (DPO) of functionaris van de gegevensbescherming aan wanneer dit wettelijk vereist is. Indien dit niet bij wet vereist is, raden we u toch aan om een verantwoordelijke aan te duiden die zich over de gegevensbescherming van de persoonsgegevens ontfermt.
Bent u ook internationaal actief? Zorg dan voor de nodige waarborgen wanneer u gegevens doorgeeft aan derde landen.
Wanneer gegevens door een andere entiteit worden verwerkt, dan is het belangrijk om een verwerkersovereenkomst op te maken. Hierin moet duidelijk worden omschreven wie waarvoor verantwoordelijk is. Zowat elk contract dat u afsluit met leveranciers, onderaannemers, partners of klanten moet een GDPR-clausule bevatten.
Niet zeker of uw bedrijf GDPR-compliant is of weet u niet goed hoe u de nodige policies, clausules, databeveiliging of andere zaken moet implementeren? Neem dan contact op met een van onze specialisten via contact@vdl.be.
Evelien Callewaert
Senior Advisor Legal evelien.callewaert@vdl.be
Karlien Van Melkebeek
Senior Advisor International karlien.vanmelkebeek@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.