Twee jaar GDPR: hoe goed heb je je privacy-zaken voor elkaar?

Vrijwel elke onderneming verzamelt gegevens van klanten, leveranciers en/of personeelsleden. Data zijn vandaag de spil van onze digitale economie. Met die datagulzigheid komt ook de verantwoordelijkheid zorgvuldig met data om te springen. De strikte GDPR-regelgeving legt hier regels voor op. Wil je boetes vermijden, dan kan je maar beter werk maken van een waterdicht privacybeleid.

Waarop is de GDPR van toepassing?

Centraal in het GDPR-verhaal staat de verwerking van persoonsgegevens. Dat is alle informatie waarmee je individuen uniek kan identificeren, zoals een naam, e-mail- of thuisadres, rijksregisternummer, foto, vingerafdruk, telefoonnummer, IP-adres, login of identificatiecookies. Elke gestructureerde bewerking van die gegevens is een verwerking onder de GDPR: opslaan, wijzigen, doorsturen, vernietigen … Het maakt geen verschil of het nu gaat om een digitaal archief of om een ouderwetse fichebak.

Wanneer mag je persoonsgegevens verwerken?

We willen alvast een belangrijk misverstand de wereld uit helpen: het verwerken van persoonsgegevens is niet enkel afhankelijk van toestemming. Dit is slechts één van de mogelijke verwerkingsgronden, en meteen ook een erg wankele basis: de betrokken persoon kan een gegeven toestemming immers altijd weer intrekken. 

Naast toestemming kan je ook data verwerken: 

• op basis van een contract (bv. een huurovereenkomst) 
• als onderdeel van een wettelijke verplichting (bv. loonadministratie)
• in het maatschappelijk belang (bv. om veiligheidsredenen)
• omwille van een vitaal belang  (bv. het delen van medische gegevens in geval van nood)
• vanwege een gerechtvaardigd belang (bv. als deel van een lidmaatschap)

Wat verwacht de GDPR van ondernemers? 

De GDPR bevat een uitgebreide reeks van verplichtingen waaraan je je als verwerker moet houden. Ga na welke voor jou van toepassing zijn. We maken je kort wegwijs. 

1.    Maak een dataregister op 

Een GDPR-conform beleid start bij het opmaken van een verwerkingsregister. Dit is een papieren of digitaal logboek waarin je al je dataverzamelingen oplijst en documenteert. Met andere woorden, je verklaart welke persoonsgegevens je bijhoudt, waarom, in welke categorieën, hoelang en met wie je ze deelt. 

Dit intern document kan overigens door de Gegevensbeschermingsautoriteit (GBA) opgevraagd worden ter controle. De GDPR legt dit op voor een aantal specifieke bedrijven. Maar ook wanneer je niet verplicht bent dit op te maken, is het dataregister de logische eerste stap. Want hoe kan je transparant over je beleid communiceren als je zelf niet weet wat je doet?

2.    Voorzie een privacy policy

Wie gegevens over klanten verzamelt, moet hier duidelijk over communiceren. Dat doe je het best via een privacyverklaring op je website. Doe dit op een transparante, toegankelijke manier en steeds in duidelijke taal. Jouw klant is niet geholpen met een wollige tekst, doorspekt van juridisch jargon. Zorg ervoor dat je de zaken heerlijk helder maakt. Vermijd zo dat klanten je moeten bellen of mailen om extra uitleg te vragen. Time is money, after all. 

3.    Sluit verwerkersovereenkomsten met je leveranciers

Databescherming is maar zo sterk als de optelsom van alle individuele inspanningen. Wanneer je regelmatig persoonsgegevens uitwisselt met andere ondernemingen, moet je met hen verwerkersovereenkomsten afsluiten. Hierin neem je concrete afspraken op over hoe zij met de verkregen data moeten omgaan.   

4.    Meld datalekken tijdig 

Wordt je bedrijf het slachtoffer van een gegevenslek, dan moet je dit - binnen de 72 uur na de vaststelling ervan - melden aan de GBA. Dit geldt enkel wanneer het waarschijnlijk is dat het datalek een risico vormt voor de rechten en vrijheden van natuurlijke personen. Zorg ervoor dat je weet wat gedaan in zo’n situatie. Voorzie in een draaiboek en neem de gepaste voorzorgsmaatregelen om lekken te vermijden. 

5.    De uitvoering van een DPIA
Als de verwerking van persoonsgegevens een verhoogd privacyrisico inhoudt voor de betrokkenen (bijvoorbeeld wanneer je aan profiling doet en deze gegevens gebruikt voor direct marketing), dan moet je vooraf een Data Protection Impact Assessment (DPIA) uitvoeren. Deze audit brengt de risico’s van de verwerking in kaart en de acties die je zal ondernemen om deze te vermijden.

De uitvoering van een DPIA is enkel verplicht voor ondernemingen die op grote schaal: 

• via geautomatiseerde verwerking een systematische en uitgebreide beoordeling doen van persoonlijke aspecten, en die op basis hiervan concrete acties ondernemen gericht op deze geprofileerde personen gevoelige persoonsgegevens (etnische afkomst, godsdienst, seksuele voorkeur, …) verwerken
• openbaar toegankelijke ruimten monitoren. 

Je kan zo’n audit zelf uitvoeren of een externe partij in de arm nemen.

6.    De aanstelling van een DPO
Bestaat de kerntaak van je onderneming uit de systematische observatie van personen op grote schaal (een bewakingsfirma bijvoorbeeld) of uit een grootschalige verwerking van gevoelige gegevens (bijvoorbeeld een ziekenhuis), dan is ook de aanstelling van een Data Protection Officer (DPO) verplicht. Hij of zij bewaakt de correcte naleving van de gegevensbeschermingsregels binnen je organisatie. 

Welke rechten hebben de betrokkenen?

Door de GDPR hebben de betrokken personen, wiens data je verwerkt, inspraak over de wijze waarop je dit doet. Zij hebben recht op:

• Informatie: breng hen (door middel van je privacy policy) op de hoogte van wat je met de gegevens zal aanvangen 
• Inzage: ze mogen op elk moment hun gegevens inkijken en bijkomende informatie opvragen
• Correctie: onjuiste of onvolledige gegevens moet je verbeteren of vervolledigen
• Verwijdering: in een aantal specifieke gevallen kunnen ze vragen om ‘vergeten te worden’ - lees: voorgoed gewist te worden uit je database
• Verzet: iedereen mag zich verzetten tegen de verwerking van zijn gegevens op basis van ernstige en gerechtvaardigde redenen
• Overdraagbaarheid van gegevens: betrokkenen kunnen hun gegevens bij jou opvragen om de overdracht aan een andere leverancier mogelijk te maken
• Klachten: iedereen heeft het recht om een klacht in te dienen bij de GBA bij een inbreuk op de persoonsgegevens.

Wat als je de GDPR niet naleeft?

Dat kan grote gevolgen hebben, namelijk hoge boetes die oplopen tot 4% van de wereldwijde omzet van je onderneming, met een maximum van 20 miljoen euro. In eerste instantie kom je er mogelijk vanaf met een waarschuwing of het verzoek om bepaalde persoonsgegevens te wissen, te wijzigen of meer in overeenstemming te brengen met de GDPR-bepalingen.

Ga niet te licht over deze verplichting. Zowel in België als in de andere Europese landen, zijn er reeds grote GDPR-boetes uitgeschreven. Zo kreeg Google Belgium een boete van 600.000 euro omwille van een schending van het recht om vergeten te worden. Het valt echter op dat het niet (enkel) de grote bedrijven, genre Microsoft, Google of Facebook, zijn die worden geviseerd. Ook kleinere ondernemingen worden beboet. Denk bijvoorbeeld aan lokale politici die persoonsgegevens uit hun privéberoep gebruikten in het kader van een verkiezingscampagne, of een juridische website die niet in orde was met haar cookiebeleid.