De GDPR-hype. Of hoe de juridische wereld KMO’s tracht te laten panikeren

27 september, 2017

U zal het waarschijnlijk ook al ergens opgevangen hebben : sinds 25 mei 2016 bestaat er een nieuwe privacywetgeving, beter gekend als de General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG). Vanaf 25 mei 2018 zal deze verordening verplicht toegepast moeten worden.

Artikels over ‘monsterboetes’ doen de ronde, en menig netwerk organiseert een studiedag opdat ondernemers wegwijs zouden raken in het kluwen van juridische wetteksten om zo “zeker op tijd” de regels na te leven.

Zelf zijn we bij LegalDirect voorstaander om tijdig te beginnen nadenken over eventuele noodzakelijke aanpassingen van uw onderneming aan nieuwe wetgeving (zie bv. onze infosessies m.b.t. de aangekondigde wijzigingen in het vennootschapsrecht) en dus raden ook wij u aan om uw zaak reeds actief voor te bereiden op de aankomende verplichtingen… maar wat houden die verplichtingen nu in voor u?

Data Processor? Data Controller?

Verplichtingen van de AVG 

We zetten ze even op een rijtje (opdat u ze dadelijk via ons actieplan kan toepassen):

Als onderneming of organisatie die persoonsgegevens verwerkt, bewaart of gebruikt, hetzij door een nieuwsbrief naar uw klantenlijst te sturen of door payroll-informatie van uw werknemers aan de juiste dienst te verstrekken, zal u de nieuwe privacyregels even moeten analyseren om te zien of uw structuur eraan voldoet. In de zin van de Verordening, bent u dan namelijk Data Controller of Verwerkingsverantwoordelijke.

Meer bepaald zal u moeten kunnen aantonen hoe de gegevens verkregen werden (bv. door een Data Processor, of Verwerker) en of deze manier beantwoordt aan de ingevoerde regels met betrekking tot toestemming of rechtsgrond, hoe en hoelang de gegevens verwerkt, bijgehouden en aan derden overgemaakt worden, of uw systeem aan de betrokken personen de mogelijkheden biedt om hun rechten op een gemakkelijke manier te laten gelden, etc. Meer bepaald zal de betrokken persoon de mogelijkheid moeten hebben om:

  • de gegevens in te zien, aan te passen en te laten verwijderen;
  • een beperking van de verwerking te vragen indien er betwisting is;
  • de gegevens over te dragen aan een andere verwerker;
  • bezwaren te uiten omtrent de verwerking van zijn of haar gegevens;
  • na te gaan of de verwerking van zijn of haar gegevens op legitieme en niet uitsluitend geautomatiseerde processen (zoals “profiling”) berust;
  • bijkomende informatie te ontvangen omtrent de Verwerkingsverantwoordelijke, de gegevens en procedures die gebruikt worden, de duurtijd van de opslag, …

Daar waar een deel van deze rechten reeds bestond onder de voorgaande nationale privacywetgeving, worden die in de AVG verder uitgebreid en wordt er volop ingezet op transparantie en responsabilisering van de Verwerkingsverantwoordelijke.

Wat wil dat nu concreet zeggen voor uw KMO?

In actie! Met ons actieplan…

De theorie is uiteraard boeiend, maar de concrete uitwerking is een ander paar mouwen. Om deze rechten te vrijwaren en aan de verplichtingen van de AVG te voldoen, zal u mogelijks een aantal maatregelen moeten nemen, waarbij kennis van zaken niet mag ontbreken. Hieronder vindt u alvast een actieplan aan de hand waarvan u kan nakijken of de processen binnen uw onderneming aan de regels van de AVG beantwoorden en op welk vlak er misschien nog werk aan de winkel is.

In dit kader zal de hervormde Privacy Commissie, de “Gegevensbeschermingsautoriteit”* nagaan of uw processen werden herzien in functie van de nieuwe basisprincipes en of uw contracten werden aangepast om een inbreuk of lek maximaal te vermijden. Bij gebrek hieraan dreigen er inderdaad zware boetes (de Verordening spreekt van maximum boetes tot 20 miljoen euro). De Privacy Commissie zal echter over tal van maatregelen beschikken, gaande van een waarschuwing tot een verbod op gebruik van bepaalde gegevens, om eventuele inbreuken te sanctioneren.

Uiteindelijk zal het erop neerkomen dat u, als onderneming of organisatie die persoonsgegevens verwerkt, voor zover het om persoonsgegevens gaat die onder de toepassing van de AVG vallen, kan aantonen dat u de regels heeft nageleefd, dan wel maximaal heeft getracht systemen of processen te integreren die een correcte naleving nastreven.

Met andere woorden: geen reden tot paniek, wel tijd om de nodige (voorzorgs-)maatregelen te treffen.

 

* Mocht je nog eens een 30-letterwoord zoeken…

Leïla Drake

#GDPR #AVG #Verordening #Privacy #Actieplan #Onderneming #Ondernemers #Toestemming #KMO 

 

 

 

 

 

 

 

 

 

 

 

 

| | | | | | | | |

Contacteer ons

Contacten

Kantoor Leuven

Martelarenlaan 32

3010 Leuven

Kantoor Zemst

Eikbosweg 63

1980 Zemst

Kantoor Leuven

Kantoor Zemst