De General Data Protection Regulation, of kort GDPR, is een Europese Verordening omtrent het verzamelen van persoonsgegevens en de beveiliging van deze gegevens. De Verordening moet uiterlijk tegen 25 mei 2018 toegepast worden. Tegen dan zal u uw onderneming moeten in overeenstemming zijn met de regelgeving.
Waarover gaat het?
De GDPR heeft de bedoeling om persoonsgegevens beter te beschermen in een digitale wereld. Door de verplichting om onder andere een register aan te leggen m.b.t. welke persoonsgegevens men precies verzamelt, waar deze verzameld worden en hoe deze beschermd worden, wil men ondernemingen bewust maken over hun gegevensbeheer.
Valt mijn onderneming onder de toepassing?
De GDPR is van toepassing op alle bedrijven die op een geautomatiseerde of een gestructureerd manier persoonsgegevens verwerken. Persoonsgegevens zijn alle gegevens van een natuurlijke persoon die geïdentificeerd of identificeerbaar zijn zoals bv. contactpersonen bij uw klanten, personeelslijsten, boekhoudkundige gegevens en andere dergelijke documenten.
Wat moet ik doen?
- Een eerste stap is het analyseren van waar en hoe u persoonsgegevens verzamelt. Bv. klantenbestand, boekhouding, personeelsbestand, adresboek, toegangscontrole tot het bedrijfsterrein, enz. U zal moeten analyseren waarom u deze gegevens bewaart (doel) en welke categorie van gegevens dit zijn (bv. identificatiegegevens, financiële gegevens,…). Daarnaast zal u ook moeten bekijken wie toegang heeft tot deze gegevens en met wie deze gegevens worden gedeeld. Dit kan rechtstreek zijn (bv. doormailen van contactgegeven) of indirect (bv. gegevens in de Cloud bewaren)
- Als tweede stap zal u dit moeten opnemen in een register dat u zowel digitaal als op papier dient te bewaren en regelmatig moet controleren en bijwerken.
- Als derde stap moet u ook nadenken over de beveiliging van deze persoonsgegevens. Hier gaat u ook uw cybersecurity moeten analyseren. Het betreft analyse van uw beveiliging door middel van paswoorden, toegangsniveau ’s, antivirus software, back-up’s en software updates.
- De GDPR verplicht u ook om datalekken te melden, zowel aan de privacy commissie als aan de getroffen personen.
- Verder zal u ook een privacy policy melding moeten opnemen in uw communicatie naar derden toe. Hiermee brengt u hen op de hoogte dat u mogelijk hun gegevens opslaat en deze zou kunnen delen met derden(bv. onderaannemers). Deze kan u best ook in uw algemene voorwaarden opnemen.
Een stappenplan kan je terugvinden via https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN%20NL%20-%20V2.pdf
Zijn er sancties?
De privacy commissie zal de controles uitvoeren.
De sanctie voor het niet naleven van de verplichting van de GDPR kan oplopen tot wel 10.000.000 EUR of 2% van uw wereldwijde omzet in het voorgaande jaar als dit hoger ligt dan het maximaal boete bedrag. Dit zijn natuurlijk boetes die eerder van toepassing zullen zijn voor grote gegevensbeheerders, maar een sanctie wegens niet naleven van de verplichtingen van de GDPR is dus niet uitgesloten.