Elke stap moet juist zijn, wij kunnen helpen!
VDV advocaten

GDPR - General Data Protection Regulation

De nieuwe Europese privacyregelgeving: General Data Protection Regulation (GDPR)
Is uw onderneming voorbereid?

Binnen enkele maanden, op 25 mei 2018, treedt de nieuwe Europese privacyregelgeving of de GDPR in werking.

Wat is GDPR ? Welke ondernemingen zullen GDPR moeten toepassen?

Het doel van de GDPR is een betere bescherming te verlenen aan de natuurlijke personen, bij de verwerking van hun persoonlijke gegevens.

De impact van de GDPR op uw onderneming valt niet te onderschatten.  De realiteit is immers dat veel ondernemingen, al dan niet bewust, veel van deze gegevens verwerken.  Voorbeelden daarvan zijn een klantenbestand, de werknemersadministratie, de nieuwsbrief,… 

Iedere KMO is gehouden tot het naleven van de principes en wettelijke verplichtingen binnen deze verordening. Doet u dit niet, dan kan u gesanctioneerd worden met administratieve boetes die oplopen tot 20.000.000,00 EUR. 


De 6 verplichtingen van GDPR

1. Privacy Policy

Een hoge transparantie vormt de basis van de GDPR.

De doelstelling is natuurlijke personen controle te geven over de gegevens die worden verzameld, bijgehouden en verwerkt. Dit uit zich in een Privacy Policy die opgesteld moet zijn in duidelijke  taal. Op basis van deze verplichte Privacy Policy dient ieder natuurlijk persoon ingelicht te worden over zijn rechten in verband met de verwerking, de uitoefening, de handhaving en de bescherming van zijn gegevens.

2. Verwerkingsregister

Dit is een nieuw aspect van de privacywetgeving . De vroegere privacywetgeving voorzag niet in een verwerkingsregister.

Het verplichte verwerkingsregister bestaat uit een overzicht van alle datastromen, verwerkingsprocessen en beveiligingen van de persoonsgegevens binnen uw onderneming.

Het register houdt een overzicht in van de
• Verwerkte gegevens;
• Verwerkingsprocessen;
• Gegevensbeveiliging;
• Doorgeven van gegevens;

Het verwerkingsregister is een cruciaal onderdeel van de GDPR. Het is van belang dat het altijd een correct en volledig overzicht weergeeft.
Het register laat de Privacy Commissie toe om gerichte controles uit te voeren.  Het register zal u ook omgekeerd toelaten het bewijs te leveren dat u de reglementering inzake privacy respecteert. Niet alleen tegenover de Privacy Commissie maar ook tegenover uw klanten, leveranciers,…

3. Verwerkingsovereenkomsten

Uw onderneming moet verplichte verwerkingsovereenkomsten afsluiten met de ondernemingen die de persoonsgegevens voor u verwerken. 
Dergelijke akkoorden zullen sneller van toepassing zijn dan gedacht. Bijvoorbeeld bij gegevensopslag in een Cloud, bij gebruik van een digitaal platform, bij de hosting van uw website, bij gebruik van HR-gegevens,…

4. Dataminimalisatie

De bescherming van de privacy begint reeds bij de ontwikkeling van nieuwe producten en diensten. Het uitgangspunt in de ontwikkelingsfase is de minimale verwerking van persoonsgegevens (Privacy by Design).

Daarnaast moet voorzien worden dat de standaardinstellingen van nieuwe producten of diensten privacy compliant zijn. Dit door een hoog beveiligingsniveau te voorzien. Enkel de gebruiker kan zijn beveiligingsniveau doen dalen (Privacy by Default).

5. Data Protection Officer

Verwerkt uw onderneming met de regelmaat van de klok persoonsgegevens? Dan stelt u een Data Protection Officer aan!
Een DPO kan zowel een eigen medewerker zijn of een externe persoon met wie uw onderneming een overeenkomst afsluit. Als privacy adviseur moet hij ervoor zorgen dat uw onderneming niet in de gevarenzone komt.

6. Meldplicht

Bij inbreuken op de beveiliging of datalekken (databreach) is uw onderneming verplicht dit binnen de 72 uur te melden aan de Privacy Commissie.
Databreach wordt ruim geïnterpreteerd. Dit kan gaan over het verlies van een USB stick met klantenbestanden, maar evengoed over het hacken van uw computersysteem.
Wanneer de databreach grote risico’s inhoudt voor de rechten en vrijheden van betrokken, moeten ook de betrokken personen worden ingelicht


De gevolgen voor de Privacy Rechten

De GDPR brengt niet alleen het opleggen van bijkomende verplichtingen met zich mee.  Ook de rechten van de betrokkenen worden uitgebreid.  Naast de bestaande rechten zoals het recht op verzet, het recht op toegang, het recht op informatie, enz., komen volgende rechten er nog bij:

1. Recht om vergeten te worden

“The right to be forgotten” is een recht dat in de huidige privacywetgeving terug te vinden is, ingevolge het Google/Spain arrest van het Europees Hof van Justitie.
Onder de GDPR wordt dit recht verder uitgewerkt en geformaliseerd. In een aantal gevallen hebben personen het recht om vergeten te worden. Uw onderneming wordt verplicht om deze gegevens binnen 1 maand te wissen.

2. Recht op dataportabiliteit

Dataportabiliteit is een nieuw en vooruitstrevend recht opgenomen in de GDPR.
Het betreft het recht van de persoon wiens gegevens verwerkt worden, om zijn gegevens op te vragen. Dit  in een gestructureerde, gangbare en machine leesbare vorm. Het doel is de persoonlijke gegevens over te dragen aan een andere onderneming.  De persoon kan zelfs verzoeken dat de gegevens rechtstreeks worden doorgezonden naar een andere onderneming. Zo wordt het gemakkelijker om over te stappen van de ene dienstverlener naar de andere.

 
Het 3-stappen GDPR-plan van VDV Advocaten.

Zo wordt uw onderneming GDPR-proof! 

1. Audit

 
Een doorgedreven analyse van alle verwerkte persoonsgegevens, datastromen en reeds genomen privacy maatregelen binnen uw onderneming. Dit aan de hand van een vragenlijst en bespreking. Op deze manier is het mogelijk een privacy policy te voorzien op maat van uw onderneming.

2. Privacy compliance

Aan de hand van de gegevens die we hebben verzameld uit de audit, kan worden bepaald welke tussenkomsten noodzakelijk zijn om uw privacy beleid af te stemmen op de nieuwe regelgeving. Volgende diensten/documenten worden  zonodig, uitgewerkt:

• Privacy Policy (opstellen of bestaande aanpassen);
• Register verwerkingsactiviteiten;
• Opstellen verwerkingsovereenkomsten;
• Interne procedure uitoefenen rechten van betrokkene;
• Opstellen doorgifte overeenkomsten derde landen;
• Aanstellen Data Protection Officer + uitwerking en documenteren afweging;
• Uitvoeren DPIA + uitwerking en documenteren afweging;
• Intern beveiligingsbeleid;
• Opleiden personeel/werknemers door middel van workshops;


3. Uitrol van uw privacy beleid

De evolutie van digitale toepassingen gaat zeer snel. De privacywetgeving volgt deze evolutie op de voet. Met gevolg dat het voor uw onderneming noodzakelijk is om constant bij te sturen en om zich aan te passen aan de realiteit en de reglementering. Zo blijft u niet alleen Privacy Compliant maar behoudt  u ook relevantie in de hedendaagse digitale economie.

Als advocatenkantoor spelen wij in op deze regelgeving door samen met u dit ontwikkelingsverhaal  op te volgen. Wij bieden gerichte oplossingen aan, die gebaseerd zijn op onze digitale en juridische knowhow. Wij creëren een privacy beleid passend bij uw onderneming.

Wij voorzien vandaag nog in een professionele audit voor uw GDPR-project. Na deze eerste analyse bepalen wij de prijs voor een begeleiding op maat. Contacteer ons!



Top