Nieuwe Europese privacyregels in mei volgend jaar

Nieuwe Europese privacyregels in mei volgend jaar

Vanaf mei volgend jaar treden de nieuwe Europese privacyregels in werking: de zogenaamde General Data Protection Regulation of GDPR (in het Nederlands de Algemene Verordening Gegevensbescherming). En die zullen ongetwijfeld ook gevolgen hebben voor u als zelfstandige en voor uw onderneming.

Eén gezamenlijke wetgeving

De GDPR zal de nationale privacywetgeving van de Europese lidstaten vervangen. Er komt dus één gezamenlijke wetgeving, want de nationale wetgevingen dateren uit het begin van de jaren negentig en zijn niet meer aangepast aan de digitale wereld van de 21e eeuw.

Bovendien zal deze Europese verordening de Privacycommissie toelaten om controles uit te voeren en ondernemingen te beboeten als die de regels niet nakomen. Een bijkomende reden om als onderneming de privacyregels na te leven!

De nieuwe Europese verordening zal gelden voor iedereen die persoonsgegevens van natuurlijke personen bijhoudt of verwerkt. Elke onderneming die een database heeft met klanten- en personeelsgegevens, gegevens van toeleveranciers, enz. moet de nieuwe regels tegen uiterlijk mei volgend jaar toepassen. En dat geldt zowel voor kleine als grote bedrijven. Of u nu als advocaat of notaris (gevoelige) informatie archiveert, als winkelier klanteninformatie bijhoudt via bv. klantenkaarten, een marketingbedrijf runt en adressenbestanden opslaat, de e-mails van uw leveranciers bewaart, enz. 

Waaraan moet u zich houden als u persoonsgegevens bewaart?

Een eerste reeks maatregelen bepaalt hoe u persoonsgegevens mag bewaren. Veel van die regels bestonden al, maar sommige worden nu wel veel strenger. De belangrijkste betreffen:

  • de bescherming van minderjarigen
  • de toestemming voor het gebruik van persoonsgegevens voor direct marketing. Die toestemming moet voortaan expliciet gegeven worden
  • het doorgeven van persoonsgegevens aan derden
  • regels rond prospects/profiling van klanten (elke vorm van geautomatiseerde verwerking van persoonsgegevens met als bedoeling de economische situatie, gezondheid, persoonlijke voorkeuren en interesses, verplaatsingen, enz. te voorspellen of analyseren)

Een tweede reeks maatregelen is helemaal nieuw en betreft de interne organisatie van de onderneming. Het gaat om de volgende verplichtingen:

  • U moet een elektronisch register voor verwerkingsactiviteiten bijhouden: als u persoonsgegevens verwerkt, moet u onder andere bijhouden wat de verwerkingsdoeleinden zijn, binnen welke termijn ze worden gewist, de categorieën van persoonsgegevens én ontvangers, de genomen beveiligingsmaatregelen, enz. Alhoewel er een uitzondering bestaat voor bedrijven met minder dan 250 werknemers, wordt kleinere ondernemingen toch aangeraden een gegevensregister bij te houden. Het zal de onderneming helpen om de verplichtingen inzake privacy na te komen.
  • In een aantal ondernemingen (bv. in geval van direct marketing) wordt een data protection officer (DPO) – een soort preventieadviseur voor privacy – verplicht. Dat kan zowel een werknemer zijn van het bedrijf als een externe consultant die enkele uren per week of maand die taak uitvoert. Wie niet verplicht is een DPO aan te stellen, doet er toch goed aan zo’n functionaris te hebben. Hij kan een belangrijke bijdrage leveren tot de bescherming van de privacy in uw organisatie.
  • De Data Protection Impact Assessment (DPIA of Gegevensbeschermingsbeoordeling) zal vooral van toepassing zijn voor ondernemingen die op grote schaal aan direct marketing en profiling doen. Het betreft een veiligheidsaudit waarin u onderzoekt hoe u met data omgaat en welke risico’s voor de rechten en vrijheden van het individu daaraan verbonden zijn. Op basis daarvan moet u een actieplan opstellen om die risico’s weg te nemen.

Verder is het raadzaam bij datalekken, verlies of diefstal van gegevens binnen de 72 uur de overheid en de betrokken klanten te verwittigen.

Een derde reeks maatregelen geeft in de toekomst meer rechten dan vroeger aan de betrokkenen. Het gaat dan onder meer over het recht op informatie en verwijdering (de klant moet op de hoogte zijn dat en hoe u persoonsgegevens verwerkt en hij kan vragen die te verwijderen), het recht op correctie (de klant kan verbetering eisen als gegevens onjuist/onvolledig zijn), het recht van verzet (de persoon van wie u gegevens bijhoudt, kan zich verzetten tegen de verwerking van zijn gegevens), het recht van inzage, enz.

Hoe pakt u dit alles het best aan in uw bedrijf?

Nieuwe Europese privacyregels in mei volgend jaar

We geven enkele tips:

Tip 1: Denk na over uw privacybeleid

Een van de verplichtingen van de nieuwe verordening is om altijd en overal geschreven contracten met de nodige garanties te sluiten.

Tip 2: Wacht niet tot het laatste moment

Deze verordening treedt in voege op 25 mei 2018. Vanaf die datum riskeert u (grote) boetes tot 20 miljoen euro of 4% van uw omzet! Informeer u dus tijdig en pas uw bedrijf aan de nieuwe regelgeving aan.

Tip 3: Breng uw datagebruik in kaart

Ga na welke data u binnen uw onderneming bewaart, wie er toegang toe heeft, waar die data vandaan komen, waarom u ze bijhoudt, welke onderaannemers ze in handen hebben, enz. Documenteer u goed en houd dat overzicht ook goed bij.

Tip 4: Doe de nodige aanpassingen

Voer de nodige aanpassingen uit aan de hand van de analyse die u maakte (zie tip 3): zorg waar nodig voor bijkomende technische beveiliging, pas uw contracten met leveranciers, arbeidsovereenkomsten, arbeidsregels, privacybeleid, enz. aan. Doe daarvoor zo nodig een beroep op een gespecialiseerd advocatenkantoor en/of een IT-consultant.

Meer info op youtube.com/(Unizo)

Maak gebruik van joyn

Met joyn – een digitale klantenkaart – zijn de adressen altijd veilig te gebruiken. Meer over joyn op kbc.be/joyn

Is deze pagina nuttig voor jou? Ja Neen