De Algemene Verordening Gegevensbescherming in een notendop!
De Europese Verordening Gegevensbescherming (GDPR) is een verordening die tot doel heeft de privacy van Europese consumenten en burgers te beschermen.
De tekst van de RGPD is sinds 25 mei 2018 van toepassing in alle Europese landen.
Uiteraard is dit verplicht voor alle organisaties, groot of klein, publieke of private sector, en zelfs voor verenigingen, zelfstandigen.
De GDPR verleent personen het recht om vragen te stellen over het gebruik van hun persoonsgegevens en legt organisaties een aantal verplichtingen op, waaronder een verplichting tot transparantie over het gebruik van persoonsgegevens.
Als een organisatie de RGPD niet naleeft, kan zij hoge boetes krijgen. Bovendien kunnen consumenten en burgers een klacht indienen bij de nationale autoriteit om hun rechten af te dwingen.
Ja, buitenlandse bedrijven zoals Facebook of Google, die klanten hebben in Europa, moeten de RGPD naleven. Sommige buitenlandse bedrijven zijn beboet met honderdduizenden euro's wegens niet-naleving van de GDPR.
Dit is alles wat u verzamelt dat een persoon identificeert, zoals zijn naam, foto, sofi-nummer, adres, mobiel nummer, enz. En dus verzamelt elke organisatie persoonsgegevens en valt zij onder de GDPR.
Bedrijven, verenigingen, ondernemingen, de publieke sector, zelfstandigen, ze worden allemaal getroffen.
NEE! Geen enkele commerciële of industriële sector is vrijgesteld van naleving van de RGPD. Ook al hebben sommige beroepen een deontologie, een gedragscode of zelfs een beroepsgeheim, geen van hen is vrijgesteld van de verplichting om de RGPD na te leven.
JA! Zelfs zeer kleine bedrijven, zelfs eenmansbedrijven, moeten hun zaakjes op orde krijgen. Zij beheren immers persoonsgegevens van klanten, prospects en werknemers en daarom is de RGPD van toepassing om hun privacy te beschermen.
JA! Zelfs zeer kleine verenigingen moeten hun zaakjes op orde krijgen. Zij beheren immers persoonsgegevens van leden, contacten en medewerkers en daarom is de RGPD van toepassing om hun privacy te beschermen.
JA! Zelfs zelfstandigen, zelfs micro-ondernemers moeten hun zaakjes op orde krijgen. Zij beheren immers persoonsgegevens van klanten, prospects, werknemers en daarom is de RGPD van toepassing om de privacy van deze mensen te beschermen.
JA! De RGPD heeft betrekking op alle verwerking van persoonsgegevens, ook als alles op papier wordt verwerkt, of als er geen gebruik wordt gemaakt van een website of zelfs van het internet. Het loutere feit dat iemand in het kader van zijn bedrijfsvoering persoonsgegevens verwerkt, volstaat om onder de GDPR te vallen.
Wat zijn de belangrijkste verplichtingen om aan de RGPD te voldoen?
De RGPD vereist niet alleen dat u aan de RGPD voldoet, maar vooral dat u dat kunt aantonen. Je moet een verslag maken om alles wat je gedaan hebt aan te tonen.
Uw RGPD-dossier moet in detail beschrijven (1) wat u hebt gedaan voor uw website, (2) de veiligheidsmaatregelen om persoonsgegevens te beschermen, (3) de personeelsaspecten, (4) hoe u de rechten beheert van de mensen van wie u gegevens bewaart, (5) elk gegevensverlies, (6) de verschillende gegevensverwerkingsoperaties die u uitvoert, (7) de relaties die u hebt met uw onderaannemers.
Dit is niet essentieel. Toepassingen zoals GDPRfolder helpen u een dossier in te vullen om aan te tonen wat u hebt gedaan om aan de voorschriften te voldoen. De steun van een RGPD advocaat of deskundige kan u echter helpen als u dat wenst.
De RGPD vereist duidelijke en transparante communicatie
Het is raadzaam om op elke website een bezoekersinformatiedocument te plaatsen om uw privacybeleid uit te leggen. Het is ook belangrijk om een wettelijke kennisgeving en een disclaimer op te nemen.
Opdat iemand zich op uw nieuwsbrief kan abonneren, moet hij u zijn e-mailadres geven. Daarom is het noodzakelijk dat zij instemmen, hun toestemming geven, met uw beleid voor de behandeling van e-mailadressen in uw nieuwsbrief. U moet hen vragen akkoord te gaan met uw privacybeleid en u moet een bewijs van hun instemming bewaren.
Als u op uw website een contactformulier aanbiedt, moet de betrokkene weten wat u met zijn gegevens gaat doen. U moet hen dus een privacybeleid geven waarmee ze moeten instemmen voordat ze u hun contactverzoek sturen. En u moet een bewijs van hun toestemming bewaren.
NEE. U kunt niet één beleid voor het beheer van persoonsgegevens voeren als u op uw site een nieuwsbrief, online winkelen, een contactformulier of vacatures aanbiedt. Elk van deze mogelijkheden verzamelt en beheert persoonsgegevens op een andere manier.
Het is essentieel dat mensen een vakje aanvinken om aan te tonen dat zij akkoord gaan met uw privacybeleid en dit gelezen hebben voordat zij hun gegevens versturen. En als de persoon het vakje niet aanklikt, moet u hem vertellen dat u geen gegevens kunt verzamelen als hij uw privacybeleid niet aanvaardt.
De RGPD geeft consumenten en burgers rechten!
Elke persoon heeft het recht om elke organisatie die gegevens verzamelt te vragen of zij gegevens over hem heeft. En je hebt 30 dagen om te antwoorden.
Als u hebt geantwoord op een verzoek om toegang en de betrokkene van mening is dat er fouten in de verzamelde gegevens staan, kan hij of zij vragen deze te corrigeren. Als zij bijvoorbeeld constateren dat hun geboortedatum niet klopt, kunnen zij vragen deze te corrigeren.
Een persoon kan een organisatie vragen de gegevens die zij over hem bewaart te wissen. Maar er zijn uitzonderingen. Als de gegevens bijvoorbeeld voor belastingdoeleinden door het ministerie van Financiën worden verzameld, is het niet mogelijk te verzoeken dat ze worden gewist, omdat ze bij wet worden verzameld. Ook voor een e-commercesite kunnen boekhoudkundige en fiscale verplichtingen vereisen dat de gegevens worden bewaard, zelfs als de klant ze wil verwijderen.
Er moeten enkele voorzorgsmaatregelen worden genomen: 1/ er moet worden nagegaan of de persoon die zijn rechten uitoefent de juiste persoon is en u bent dus verplicht zijn of haar identiteit te controleren. 2/ U hebt één maand om te antwoorden en het is dus belangrijk dat u een inventaris van uw databanken opmaakt. 3/ u moet natuurlijk een dossier bijhouden van het verzoek en uw antwoord om aan te tonen dat u heeft gereageerd.
De termijn is één maand nadat de aanvraag is ontvangen en de identiteit van de persoon is geverifieerd. Er zijn enkele mogelijkheden om de termijn te verlengen wanneer het werk onevenredig is. Als ik een grote instelling om al mijn gegevens vraag, kunnen zij mij vragen mijn verzoek te verduidelijken of twee maanden extra de tijd krijgen
Gegevens kunnen alleen in bepaalde toegestane situaties worden verzameld
De GDPR staat u alleen toe gegevens te verzamelen in gevallen waarin u een rechtsgrondslag hebt, of het nu gaat om toestemming van de betrokkene, een contract, enz. Er zijn slechts 6 rechtsgrondslagen die hieronder worden toegelicht
U kunt persoonsgegevens verwerken als de betrokkene u daarvoor toestemming heeft gegeven. U moet kunnen bewijzen dat u deze toestemming hebt gekregen, hetzij op papier, hetzij via een aankruisvakje op een website. Let op: 1/ Er is geen impliciete toestemming, de toestemming moet uitdrukkelijk en specifiek worden gegeven voor de gegevensverwerking die u aan de persoon voorstelt 2/ De betrokkene kan zijn toestemming te allen tijde en zonder rechtvaardiging intrekken.
Deze rechtsgrondslag is complex en moet voortvloeien uit het evenwicht tussen het belang van de voor de verwerking verantwoordelijke en de eerbiediging van de persoonsgegevens van de betrokkenen. Een voorbeeld is de mogelijkheid om contact op te nemen met voormalige klanten om hen soortgelijke producten of diensten aan te bieden.
Wanneer u een contract ondertekent of in precontractuele onderhandelingen bent, kunt u gegevens verwerken. In het kader van aanwerving verzamelt u bijvoorbeeld een CV, interviewgegevens, enz.
De wet kan gegevensverwerking toestaan. Het ministerie van Financiën is bijvoorbeeld wettelijk verplicht uw fiscale gegevens te verwerken.
De wet kan een taak van algemeen belang hetzij aan een openbare, hetzij aan een particuliere actor toevertrouwen. In dit geval moet bij het informeren van de betrokkenen worden verwezen naar de verordening die deze taak aan de voor de verwerking verantwoordelijke toevertrouwt.
Dit is een zeer beperkt geval, wanneer het leven van de persoon in gevaar is, is het toegestaan gegevens te verzamelen en te verwerken zonder toestemming.
Cybercriminaliteit bestaat en menselijke fouten ook!
Wanneer u een verlies of diefstal van gegevens vaststelt (cybercriminaliteit, verlies van een laptop, per ongeluk vertrouwelijke informatie naar de verkeerde persoon sturen, enz.
JA! U heeft maximaal 72 uur om een beslissing te nemen, die afhangt van de ernst van het incident. U hebt drie mogelijke reacties: 1/ u denkt dat het incident niet ernstig is en u doet niets (bv. een verloren laptop wordt de volgende dag gevonden) 2/ het incident is ernstig en u moet contact opnemen met de nationale gegevensbeschermingsautoriteit 3/ het incident is zeer ernstig en kan gevolgen hebben voor de betrokkenen, in welk geval u hen moet waarschuwen.
Als u denkt dat het incident ernstig is, of als u twijfelt aan de ernst ervan, moet u binnen 72 uur contact opnemen met de nationale gegevensbeschermingsautoriteit. Er is een meldingsformulier op de website van deze autoriteit.
Alleen als er ernstige gevolgen zijn voor de betrokkenen, bijvoorbeeld als er medische gegevens openbaar worden gemaakt. In dat geval moet u alle betrokkenen informeren.
De functionaris voor gegevensbescherming heeft een belangrijke rol
NEE! Het is verplicht een DPO aan te stellen voor overheidsinstanties, voor grote organisaties, voor organisaties die een grote hoeveelheid gegevens verwerken. Voor het mkb, zelfstandigen, ngo's en verenigingen is het niet verplicht een functionaris voor gegevensbescherming aan te stellen.
De functionaris voor gegevensbescherming is onafhankelijk van het management, zoals een accountant. De rol van de DPO is te adviseren over en toe te zien op de naleving van de RGPD en de organisatie te helpen bij het bereiken van naleving.
NEE! Het is zelfs verboden omdat het een belangenconflict zou creëren tussen beheersbeslissingen enerzijds en de verplichting om de RGPD na te leven anderzijds. Geen enkel lid van het management kan DPO van zijn of haar organisatie zijn.
Beide hebben voor- en nadelen. Een interne DPO kent het bedrijf goed, maar zal minder ervaring hebben en waarschijnlijk door collega's worden beïnvloed. Een externe DPO kent het bedrijf minder goed, maar heeft meer DPO-ervaring en is onafhankelijker van het bedrijf.
Het verwerkingsregister beschrijft de gegevensverwerking die u uitvoert
Het is verplicht voor organisaties met minder dan 250 werknemers, tenzij zij verwerkingen uitvoeren die risico's voor betrokkenen of gevoelige gegevens inhouden.
Het register bevat de beschrijving van de verwerking, de betrokken persoonsgegevens, de beveiligingsmaatregelen, de doeleinden van de verwerking, de rechtsgrondslag, de mogelijke ontvangers van de gegevens, enz. Al deze gegevens geven u een goed overzicht van de verwerking die u doet en hoe u voldoet aan de GDPR.
JA, zelfs in gevallen waarin het register niet verplicht is, bevelen de gegevensbeschermingsautoriteiten aan dat het wordt ingevuld omdat het een goed overzicht biedt van de verrichte gegevensverwerking.
U bent verantwoordelijk voor de keuze van uw onderaannemers die ook de RGPD moeten respecteren!
De GDPR beschouwt een verwerker als een organisatie waaraan u de verwerking van gegevens volgens uw instructies toevertrouwt. U voert bijvoorbeeld een e-mailcampagne en geeft uw klantenlijst aan een leverancier om de e-mailcampagne te beheren.
JA! U bent verantwoordelijk voor de keuze van uw onderaannemers en als zij de RGPD niet naleven, kunt u verantwoordelijk worden gesteld tegenover de betrokkenen.
JA! De RGPV legt de ondertekening van een specifiek contract op dat de rechten en verplichtingen van de onderaannemer omvat en met name zijn verplichting om de RGPV na te leven.
U bent ook verantwoordelijk voor de keuze van uw niet-Europese onderaannemer. In dit geval moeten specifieke veiligheidsmaatregelen worden genomen omdat sommige landen problemen opleveren, zoals de Verenigde Staten. Google Analytics is bijvoorbeeld in strijd met de RGPD verklaard en daarom is het verplicht een andere oplossing te kiezen of het risico te lopen verantwoordelijk te worden gesteld en sancties te riskeren.
Het niet naleven van de RGPD of het niet kunnen aantonen ervan is niet zonder risico!
Veel mensen kunnen u vragen of u voldoet aan de RGPD: uw klanten, uw leveranciers, bij aanbestedingen, en natuurlijk de gegevensbeschermingsautoriteiten. En vergeet niet dat de RGPD niet alleen eist dat u aan de voorschriften voldoet, maar ook dat u dat kunt aantonen, vandaar het belang van het RGPD-dossier.
20 miljoen of 4% van de jaarlijkse omzet. Maar vergeet niet de schade aan uw reputatie wanneer bekend wordt dat u de aan u toevertrouwde persoonsgegevens niet respecteert.
JA! Ook al wordt er veel gesproken over de miljoenen euro's die aan grote concerns als Google zijn opgelegd, er zijn al veel boetes opgelegd aan kleine en middelgrote ondernemingen, verenigingen en zelfs zelfstandigen.
Hier vindt u een aantal acroniemen die in de context van de RGPD worden gebruikt
De CNIL is de Commission Informatique et Liberté, de Franse autoriteit die belast is met het toezicht op de naleving van de RGPD en die controlebevoegdheden heeft en boetes kan opleggen.
De Europese Toezichthouder voor gegevensbescherming is samengesteld uit de 27 nationale gegevensbeschermingsautoriteiten en heeft als voornaamste taak aanbevelingen te doen over de toepassing van de GDPR.
De DPA is de Belgische autoriteit voor gegevensbescherming
de CNPD is de Luxemburgse gegevensbeschermingsautoriteit
Een DPIA is een gegevensbeschermingseffectbeoordeling (vaak DPIA genoemd). Het is een risicoanalyse die in bepaalde gevallen, zoals de verwerking van grote hoeveelheden gevoelige gegevens, verplicht is.
Het Europees Comité voor gegevensbescherming is de Engelse benaming van de EDPS.