A-lex

Maak uw bedrijf privacy-proof!

Gepost op 11/04/2017

Op 25 mei 2018 wordt de nieuwe Europese Verordening inzake privacy van kracht, ook wel beter bekend als de Algemene Verordening Gegevensbescherming (AVG) of de General Data Protection Regulation (GDPR).

 

Deze verordening regelt en vernieuwt heel wat aspecten omtrent privacy en zal bij ons in 2018 aldus rechtstreeks van toepassing worden. De voornaamste doelstelling van deze verordening bestaat erin om burgers meer controle te geven over het gebruik van hun persoonlijke gegevens.

 

Vaak geven burgers diverse persoonsgegevens door (zoals hun naam, telefoonnummer, (e-mail)adres, bankrekeningnummer, etc.) aan een bedrijf bij wie ze een product (online) aankopen, waar ze tewerkgesteld worden, of aan een winkel waarbij ze een wedstrijdformulier invullen.

 

Ondernemingen gaan deze persoonsgegevens vaak gaan verwerken, d.i. verzamelen, gebruiken, beheren en soms zelfs meedelen aan derden.

 

Bedrijven die aan een dergelijke gegevensverwerking doen, moeten zich schikken naar de privacy-reglementering en zullen deze nieuwe verordening dus zeker indachtig moeten zijn, temeer nu er voor het eerst expliciet hoge boetes worden voorzien in geval van niet-naleving van de bepalingen omtrent privacy. Alle toezichthoudende autoriteiten kunnen administratieve boetes opleggen tot 20.000.000 euro of 4% van de jaaromzet indien dit cijfer hoger is.

 

Het is dus van groot belang om uw onderneming tijdig in regel te stellen met deze verordening.

 

Wij zetten hieronder de belangrijkste aandachtspunten op een rij.

 

  • Burgers zullen hun expliciete toestemming moeten geven opdat bedrijven hun persoonlijke gegevens kunnen gebruiken. In het online gebeuren betekent dit dus dat de betrokkene een actieve handeling moet stellen opdat hij de gegevensverwerking aanvaardt (bijvoorbeeld op ‘akkoord’ klikken wanneer een banner verschijnt bij het bezoeken van de website). Bovendien moeten zij op ieder ogenblik hun toestemming weer kunnen intrekken.
  • Elke betrokkene heeft ‘het recht om vergeten te worden’, hetgeen betekent dat op vraag van de betrokkene de onderneming de persoonsgegevens van deze persoon moet verwijderen. Hierop bestaan evenwel een aantal uitzonderingen, bijvoorbeeld wanneer een onderneming een wettelijke plicht heeft om bv. werknemersgegevens bij te houden.
  • De nieuwe verordening hecht veel belang aan transparantie. Als u gegevens verwerkt, zult u heel wat informatie moeten meedelen aan de consument, zoals onder andere de identiteit en contactgegevens van de verwerkingsverantwoordelijke, wie de gegevens zal ontvangen, hoelang de gegevens bewaard worden etc. Bovendien moet deze informatie opgesteld worden in een leesbare en overzichtelijke vorm die op een eenvoudige wijze toegankelijk is. U dient met andere woorden een privacy policy en eventueel ook een cookiepolicy (indien u van cookies gebruik maakt) op te stellen die in mensentaal is opgemaakt en die door éénieder geraadpleegd kan worden en waarmee men uitdrukkelijk moet akkoord gaan.
  • Grote bedrijven zullen een ‘data protection officer’ (DPO) moeten aanstellen. De DPO is diegene die verantwoordelijk is voor de correcte toepassing van de privacywetgeving. KMO’s worden echter vrijgesteld van deze verplichting, tenzij zij gespecialiseerd zijn in dataverwerking en/of op systematische wijze gevoelige persoonsgegevens verwerken (bv. labo’s).
  • Ingeval van een inbreuk in verband met persoonsgegevens (bv. een lek van persoonsgegevens van werknemers) moet de onderneming het gegevenslek onmiddellijk en uiterlijk binnen de 72 uur melden aan de bevoegde privacy-autoriteit. Ook de betrokkene van wie de gegevens zijn gelekt, moet door de onderneming worden ingelicht indien het gegevenslek een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene.

Kortom, heel wat belangrijke wettelijke wijzigingen die bij niet-naleving gesanctioneerd zullen worden met hoge boetes. Begin dus tijdig aan het privacy-proof maken van uw onderneming!