GDPR: is jouw KMO er klaar voor?

Wat is GDPR?

De General Data Protection Regulation (GDPR) is een Europese wetgeving die vanaf 2018 in alle lidstaten van Europa zal gelden. Het doel van GDPR is om een betere bescherming van persoonsgegevens te garanderen. In de toekomst zal je dus beter moeten opletten bij het verzamelen, verwerken of gebruiken van persoonsgegevens.

De vorige wetgeving dateerde al uit 1995 en was niet meer aangepast aan de hedendaagse situatie. Denk bijvoorbeeld aan alle sociale media en cloud-diensten die de laatste jaren zo populair geworden zijn. Zo’n bedrijven bezitten zeer veel gegevens over hun gebruikers. Een nieuwe wetgeving kon daarom niet langer uitblijven. Maar vergis je niet: ook op kleinere bedrijven zal de GDPR een impact hebben.

Is jouw KMO klaar voor GDPR?

Verzamelt, verwerkt of gebruikt jouw bedrijf persoonsgegevens van Europese burgers? Zorg dan dat je tegen mei 2018 in orde bent aan de hand van onze checklist. Let op: zelfs als je enkel e-mailadressen verzamelt van je klanten om hen een nieuwsbrief te sturen, moet je aan de wetgeving voldoen.

1. Bescherming van de gegevens

Persoonsgegevens mogen enkel verzameld worden voor specifieke, expliciete, legitieme doeleinden.

• Gebruik persoonsgegevens nooit voor andere doeleinden
• Verwerk alleen persoonsgegevens die je echt nodig hebt
• Hou persoonsgegevens nooit langer bij dan noodzakelijk
• Zorg dat gegevens ten allen tijde accuraat en up-to-date zijn
• Bewaar gegevens veilig en zorg dat ze beschermd zijn tegen ongeoorloofd gebruik, diefstal, verlies of schade

Opmerking: de GDPR is enkel van toepassing als het gaat om gegevens aan de hand waarvan een persoon identificeerbaar is. Een e-mailadres zoals hello@v-b.be zou dus niet onder deze wetgeving vallen, maar steven@v-b.be wel.

2. Expliciete toestemming

Als je persoonsgegevens nodig hebt, zal je voortaan de toestemming van de persoon in kwestie nodig hebben. Die toestemming moet ‘specifiek, vrijwillig, ondubbelzinnig en geïnformeerd’ zijn. In de praktijk komt dat er bijvoorbeeld op neer dat je mensen zelf moet laten kiezen of ze zich al dan niet willen inschrijven op je nieuwsbrief. Je moet hen ook informeren welke data je gaat verzamelen, hoe je dat doet en waarom.

• Dwing nooit iemand om gegevens met je te delen, de toestemming moet vrijwillig zijn
• Informeer mensen en leg hen uit wat je met hun data gaat doen
• Zorg ervoor dat mensen hun toestemming makkelijk opnieuw kunnen intrekken
• Heb je gegevens nodig voor verschillende doeleinden? Vraag dan voor elk doel apart toestemming
• Let op: kinderen onder 13 jaar kunnen nooit zelf toestemming geven

3. Let op met gevoelige gegevens

Voor gegevens die betrekking hebben op gevoelige thema’s, zoals etniciteit, politieke voorkeur, religie en geaardheid zullen er nog strengere regels gelden. Dit soort data kan in principe enkel verzameld worden als de situatie erom vraagt of wanneer de persoon zelf expliciet toestemming geeft.

4. Garandeer de rechten van het individu

Dankzij de GDPR krijgen individuen veel meer controle over hun persoonlijke gegevens. Zorg dat al hun rechten gewaarborgd zijn.

• Recht op rechtzetting
  In geval van foute of onvolledige gegevens
• Recht op informatie
  Over jouw identiteit, de reden waarom je hun gegevens wilt verzamelen en hoe lang je hun gegevens zal bijhouden
• Recht op toegang
  Ze moeten allen tijde toegang kunnen krijgen en een kopie van hun gegevens kunnen opvragen
• Recht op overdracht
  Indien het individu dat wenst, moet jij in staat zijn om de data die je over hen verzameld hebt op een eenvoudige manier over te dragen aan een ander bedrijf
• Recht op weigeren
  Ook na een bepaalde periode kan een individu vragen om zijn/haar gegevens te laten wissen of het gebruik ervan te beperken (tenzij dit de werking van jouw bedrijf zou hinderen)

5. Heeft jouw bedrijf een Data Protection Officer nodig?

Een Data Protection Officer (DPO) is een persoon die erop moet toezien dat alle regels rond gegevensbescherming in acht genomen worden. Niet elk bedrijf heeft echter een DPO nodig. Er zijn drie soorten bedrijven die er wel één nodig hebben:

1. Elke organisatie uit de publieke sector (behalve rechterlijke instanties)
2. Bedrijven die regelmatige en stelselmatige controle nodig hebben vanwege de aard, omvang of doeleinden van de gegevensverzameling (hierbij gaat het vooral om het verzamelen van big data)
3. Bedrijven die gevoelige gegevens verzamelen (zie puntje 3)

Zelfs als jouw bedrijf geen DPO nodig heeft, adviseren we je toch om één contactpersoon binnen je bedrijf aan te duiden die toeziet op GDPR compliance. Dit helpt je om de focus te bewaren.  

6. Privacy by design

Lanceer jij binnenkort een nieuw product of dienst? Implementeer je een nieuw proces? Vroeger was de wetgeving hierin wat losser, maar voortaan zal je vanaf dag één moeten zorgen dat alles voldoende beveiligd is zodat er geen datalekken kunnen ontstaan. Gelukkig kan je zulke privacyrisico’s vroegtijdig opsporen dankzij een Privacy Impact Assessment.

7. Meldplicht bij datalek

Heb je toch te maken met een datalek? Dan ben je verplicht om dit binnen 72 uur te melden aan de bevoegde instantie, tenzij het lek niet ernstig is. Een datalek wordt als ernstig beschouwd wanneer de rechten en vrijheden van een individu in het gedrang komen.

Ons advies: zorg dat je op voorhand een procedure opstelt die je kan volgen in het geval van een datalek.

Sancties in geval van niet-naleving

In België zal de Privacycommissie belast worden met het toezicht op de naleving van de GDPR. Dient iemand een klacht in over jouw omgang met privacy of is er reden om aan te nemen dat je de wetgeving niet naleeft? Dan kan de Privacycommissie beslissen om een onderzoek in te stellen om dit na te gaan.

Voldoet je bedrijf niet aan de normen? De Privacycommissie kan corrigerende maatregelen treffen of administratieve geldboetes opleggen. In het beste geval krijg je een waarschuwing of berisping, met de vraag om de overtredingen zo snel mogelijk recht te zetten. Bij ernstige overtredingen kan er sprake zijn van een verwerkingsverbod of boetes die zeer hoog kunnen oplopen. Toch is dit niet meteen reden tot paniek: zolang je kan aantonen dat je binnen je organisatie met GDPR bezig bent en moeite doet om conform te zijn, zal het niet zo snel zo ver komen.

Laat je bijstaan door de juiste partner

Jezelf bewust zijn van GDPR en alles wat dit met zich meebrengt, is al een belangrijke eerste stap. In onze volgende blog geven we je een concreet stappenplan, inclusief templates waar je meteen mee aan de slag kan. Toch doe je er als KMO goed aan om je in dit proces ook te laten bijstaan door een juridische partner die advies kan geven op maat van jouw organisatie en kan evalueren of je bedrijfsprocessen GDPR-proof zijn.

Bij Vector BROSS werken we hiervoor nauw samen met LegalDirect, een advocatenkantoor met een hart voor ondernemen en een no-nonsense mentaliteit. Hun doelstelling is het recht en de advocatuur begrijpelijk en to-the-point maken voor drukbezette mensen zoals jij. En doordat ze zelf een ambitieuze KMO zijn, begrijpen de advocaten van LegalDirect de behoeften van ondernemers als geen anderen.

Met deze missie in het achterhoofd, schreven ze enkele weken geleden reeds een artikel over GDPR vanuit de vaststelling dat de juridische wereld KMO’s blijkbaar tracht te laten panikeren. Nochtans is het louter een kwestie van de zaak in handen te nemen en na te gaan of jouw onderneming er klaar voor is. Op juridisch vlak kan LegalDirect jou onder meer bijstaan bij de redactie van de overeenkomst die de relatie opdrachtgever-verwerker duidelijk stelt en de aansprakelijkheid van de verwerker omschrijft, bij het nazicht van de technische implementatie conform de nieuwe wetgeving en bij de toetsing van de functie van de DPO aan de wettelijke vereisten.

Meer informatie over LegalDirect vind je hier of neem contact op met Leïla Drake via leila.drake@legaldirect.be of 0485 13 85 95.