Back to Top

Nieuwe Privacy-wetgeving – Een ver van uw bed show? Wij vrezen van niet! - 31/03/2017

Op 1 februari wijdde wij een eerste artikel aan deze problematiek. De nieuwe GDPR-wetgeving (General Data Protection Regulation) van 24 mei 2016 treedt effectief in werking vanaf 25 mei 2018. Dit impliceert dat u als bedrijf of organisatie tegen die datum moet voldoen aan de nieuwe Europese regels betreffende de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. In dit vervolgartikel gaan wij verder in op de voorbereidingen die u als bedrijf of organisatie kan - en wellicht zal moeten - treffen om inbreuken, en daaraan gekoppeld significante boetes, te vermijden.

Laten we eerst even stilstaan bij enkele belangrijke begrippen binnen de GDPR-wegving, of ook de AVG (Algemene Verordening Gegevensbescherming) genoemd:

  1. Persoonsgegevens: De AVG gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Voor de toepassing van de AVG wordt onder ‘persoonsgegevens’ verstaan:

“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een indicator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

  1. Verwerking: Voor de toepassing van de AVG wordt onder ‘verwerking’ begrepen:

“Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.”

Het zal u opvallen dat deze begrippen ruim werden gedefinieerd. We mogen dus gerust stellen dat ieder bedrijf of organisatie hierdoor wordt geviseerd. Overeenkomstig deze wetgeving is elk bedrijf of organisatie verantwoordelijk voor het beheer, de verwerking en de beveiliging van deze gegevens. Daar u ten allen tijde een correct beheer en sluitende beveiliging moet kunnen aantonen, is het dus uitermate belangrijk u tijdig te organiseren.

Allereerst moet u bewust worden van welke gevolgen de AVG zal teweegbrengen voor uw bedrijf of organisatie. Dit beperkt zich niet tot het management, maar geldt ook voor de medewerkers. Om correct te kunnen inschatten welke domeinen mogelijks problematisch kunnen zijn, dient u in kaart te brengen, in bijvoorbeeld een dataregister, welke persoonsgegevens er worden bijgehouden, met wie deze worden gedeeld, wie allemaal toegang heeft tot deze gegevens, of eventuele verwerkingen worden geregistreerd, enz.  Wellicht is een informatie-audit, zijnde het in kaart brengen van de feitelijke situatie, een goede basis om een verder stappenplan vanuit te genereren.

Gezien u als bedrijf of organisatie een expliciete toestemming dient te bekomen van de betrokkene voor het bewaren en verwerken van persoonsgegevens, dient te worden nagegaan op welke wijze deze toestemming wordt gevraagd, hoe deze wordt bekomen en hoe deze wordt geregistreerd. Deze toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn en moet ook blijken uit een actieve indicatie van akkoord. M.a.w. kan de toestemming niet afgeleid worden uit bijvoorbeeld een stilzwijgen of een vooraf aangevinkt vakje. Een toestemmingsmechanisme of alternatief dient dus te worden ontwikkeld indien nog niet voorhanden. Bovendien moeten de gegevens ten allen tijde up-to-date zijn. Ook hier dient de evaluatie te worden gemaakt of hiervoor nog processen, al dan niet automatisch, dienen te worden ontwikkeld of worden aangepast.

Eens toestemming bekomen, moet u als bedrijf of organisatie ook rekening te houden met de rechten van de betrokkene. Zo dient te worden nagegaan of de huidige procedures alle rechten voorzien waarop de betrokkene zich kan beroepen, en hoe je voortaan te werk zal gaan wanneer iemand zijn of haar recht wil uitoefenen. De AVG voorziet o.a. in rechten zoals “informatie en toegang tot persoonsgegevens; correctie en uitwissing van gegevens; overdraagbaarheid van gegevens, …” Bij het in kaart brengen van de verscheidene types van gegevensverwerkingen, is het niet onbelangrijk om eveneens de wettelijke grondslag voor elk van hen te identificeren daar onder de AVG de rechten van de betrokkene kunnen variëren naargelang de wettelijke basis van de gegevensverwerking.

In ons eerste artikel omtrent dit onderwerp werd reeds de nadruk gelegd op het belang van de bescherming van de persoonsgegevens. Het behoort tot de “good practices” om te voorzien in een degelijke gegevensbescherming en dus de nodige technische en organisatorische maatregelen te treffen. Deze kunnen o.a. volgende elementen omvatten: versleuteling van persoonsgegevens, paswoord bescherming, … De vereiste maatregelen kunnen dus in zekere mate worden opgevangen door IT-technische ontwikkelingen, zonder dat het zich daartoe kan of mag beperken. Vooral met betrekking tot de gegevensbescherming is het uitermate belangrijk om iedereen binnen de organisatie voldoende te sensibiliseren. Denk hierbij bijvoorbeeld aan een document dat ergens blijft rondslingeren op een bureau, gegevens die doorgestuurd worden via “we transfer”, privégebruik van een laptop, enz.   Dit zijn allemaal mogelijke risicokanalen voor datalekken. Medewerkers bewust maken van de mogelijke gevolgen voor het bedrijf is een cultuurswitch die niet op korte termijn wordt gerealiseerd.

Vanaf 28 mei 2018 moet uw bedrijf ‘GDRP-proof’ zijn. U heeft dus slechts tot dan de tijd om binnen uw bedrijf of organisatie de nodige maatregelen te treffen en een (aantoonbaar) beleid uit te werken. Het spreekt voor zich dat dit heel wat werk met zich meebrengt.  Het is dan ook aangewezen om dit niet verder uit te stellen en zo snel mogelijk te starten met de nodige voorbereidingen.  Weet dat HLB de vereiste kennis, ervaring en mensen heeft om u hierbij op een efficiënte en effectieve wijze in bij te staan.