GDPR in werking vanaf 25 mei 2018

Gegevensbescherming05/03/2018

U heeft er wellicht al van gehoord: op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking (beter gekend als General Data Protection Regulation of GDPR). De verordening bevat strikte regels over de wijze waarop omgegaan moet worden met persoonsgegevens. De gegevensbeschermingsautoriteit (de huidige Privacycommissie) krijgt de mogelijkheid om sanctionerend op te treden en zelfs (hoge) boetes op te leggen.

De GDPR heeft gevolgen voor alle ondernemingen. Er worden immers persoonsgegevens verwerkt van onder meer klanten, leveranciers, aannemers en personeelsleden. De term “persoonsgegeven” is zeer ruim: elke informatie op basis waarvan een persoon geïndividualiseerd kan worden, zoals naam, adres, telefoonnummer, e-mail adres, maar ook foto’s, IP-adressen, etc.

De basisprincipes van de huidige Belgische privacy reglementering blijven behouden, maar de GDPR bevat ook een aantal nieuwigheden. Zo worden striktere voorwaarden gesteld aan de toestemming die een persoon kan geven om zijn persoonsgegevens te verwerken, worden de rechten van de betrokkenen uitgebreid en gelden er ook meer uitgebreide verplichtingen voor verwerkers. Sommige ondernemingen moeten een “data protection officer” aanstellen.   

Voor ondernemingen brengt de invoering van de GDPR een aantal zeer concrete verplichtingen met zich mee. Zo moeten de verschillende verwerkingsactiviteiten geregistreerd worden in een verwerkingsregister, dat u op papier of elektronisch kan bijhouden en waarin u in detail moet uiteenzetten op welke wijze u de persoonsgegevens verwerkt, voor welke doeleinden, gedurende welke bewaartermijn en aan wie u de gegevens eventueel doorstuurt. De gegevensbeschermingsautoriteit kan dit register te allen tijde opvragen.

Daarnaast moet u ervoor zorgen dat iedereen van wie u persoonsgegevens verwerkt hierover de nodige informatie ontvangt. Dit kan in een zogenaamde “Data protection notice”, waarnaar u in contracten met opdrachtgevers en (onder)aannemers kan verwijzen. Voor werknemers heeft u best een afzonderlijke policy. Ook dient u na te denken over de procedure in geval van een datalek (vb: hacking, maar ook het verlies van een laptop of usb-stick met vertrouwelijke informatie). De GDPR bevat verder specifieke verplichte vermeldingen voor overeenkomsten met verwerkers van persoonsgegevens (vb: sociaal secretariaat, IT-leverancier). U doet er dus goed aan deze overeenkomsten na te kijken en desgevallend aan te passen.

Naast een voornamelijk administratief luik, waarvan wij adviseren dat u dit in de mate van het mogelijke probeert rond te krijgen tegen de inwerkingtreding van de GDPR op 25 mei 2018, heeft de GDPR ook een aantal operationele gevolgen. Uw medewerkers moeten weten hoe zij vertrouwelijk moeten omspringen met persoonsgegevens en uw lokalen en IT-systemen moeten zo goed mogelijk beveiligd worden om verlies van of onrechtmatige toegang tot persoonsgegevens te vermijden.