Europa wil met haar General Data Protection Regulation (GDPR) beperkingen opleggen aan bedrijven die eindeloos gegevens verzamelen. De wet zal in de hele EU gelden, dus ook voor internationale bedrijven die met Europese persoonsgegevens werken. Hoewel er pas binnen twee jaar boetes opgelegd zullen worden, kan het belangrijk zijn om nu al rekening te houden met het soort en de hoeveelheid data die uw bedrijf verwerkt, en voldoende tijd in te plannen om alles tegen dan reglementair te kunnen maken. Informatie zoeken over deze verordening voelt al snel als zoeken naar een speld in een hooiberg. Daarom zetten we de belangrijkste punten voor u op een rijtje.
GDPR: de meest ingrijpende veranderingen
Toestemmingen
Vanaf 2018 verstrengt de regelgeving omtrent het bekomen van toestemmingen. De General Data Protection Regulation focust vooral op het beschermen van de dataverstrekkers. Daarom is het belangrijk om steeds een expliciet verzoek om toestemming in begrijpelijke en makkelijk toegankelijke vorm, én in duidelijke en eenvoudige taal op te stellen. Bij het vrijgeven van persoonsgegevens moet de dataverstrekker ook telkens deze informatie krijgen:
- identiteit en contactgegevens van de verwerkingsverantwoordelijke en (indien van toepassing) diens vertegenwoordiger;
- de contactgegevens van de Data Protection Officer of DPO (indien van toepassing);
- de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking.
Toestemming kan enkel door een actieve handeling worden gegeven. Daaruit moet blijken dat de dataverstrekker vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van persoonsgegevens instemt. Indien de verwerking meerdere doeleinden heeft, moet de verstrekker voor ieder daarvan afzonderlijk toestemming geven. Bovendien kan hij of zij de toestemming te allen tijde intrekken én moet dit even eenvoudig zijn als het geven ervan.
Voor een kind jonger dan 16 jaar geldt de volgende regel: de verwerking is enkel rechtmatig wanneer de toestemming of machtiging tot toestemming wordt verleend door de persoon die ouderlijke verantwoordelijkheid over het kind draagt. Deze leeftijdsgrens kan door andere regionale autoriteiten verlaagd worden tot 13 jaar, dus hier kunnen regionale verschillen optreden.
Privacy by design
Het principe van ‘privacy by design’ betekent dat de onderneming bij het begin van het proces van nieuwe verwerkingen de bescherming van persoonsgegevens moet meenemen. Reeds bij het ontwerp moet de verantwoordelijke dus rekening houden met zijn of haar verplichtingen. Hij of zij moet passende technische en organisatorische maatregelen treffen om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren.
Privacy by default
Het principe ‘privacy by default’ betekent dan weer dat de standaardinstelling van de verwerking moet zijn dat de privacy zo veel mogelijk wordt gewaarborgd. Ieder mechanisme mag slechts het minimum aan noodzakelijke gegevens voor elk doeleinde verzamelen en bijhouden. Hier gaat het dus om minima inzake:
- Hoeveelheid
- Mate waarin ze verwerkt worden
- Termijn van opslag
- Toegankelijkheid
Impactanalyse
De gegevensverantwoordelijke moet, wanneer de verwerking een hoog risico inhoudt, vóór de verwerking plaatsvindt een beoordeling uitvoeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens. Zaken die invloed kunnen hebben op de grootte van het risico zijn de aard, omvang, context en doeleinden van de verwerking. Indien er een DPO aanwezig is binnen uw organisatie, moet u deze om advies vragen bij de beoordeling.
Wijst de impactanalyse op een hoog risico? Dan moet de verwerkingsverantwoordelijke de bevoegde autoriteit nog vóór de gegevensverwerking raadplegen. In België krijgt de Privacy Commissie de autoriteit als het om de GDPR gaat. Indien een inbreuk wordt vastgesteld, zal de instantie u binnen maximaal 8 weken verzoeken om verder schriftelijk advies in te winnen. Die termijn kan met 6 weken verlengd worden voor complexe verwerkingen.
Data Protection Officer
De DPO of Data Protection Officer is ondertussen al enkele keren vermeld geweest en vormt ook een van de meest ingrijpende veranderingen die de verordening met zich meebrengt. Of toch op zijn minst voor sommigen. U bent namelijk enkel verplicht om een DPO aan te duiden indien u op 1 van volgende vragen ‘ja’ moet antwoorden:
- Verwerkt uw organisatie de persoonlijke gegevens van meer dan 5.000 dataverstrekkers per jaar?
- Is uw organisatie een overheidsinstantie of -orgaan (behalve gerechten in uitvoering van rechterlijke taken)?
- Bent u hoofdzakelijk belast met de verwerking van bijzondere categorieën van gegevens? Dat zijn gegevens die ras, politieke voorkeur of religieuze overtuiging weergeven of betrekking hebben op strafrechtelijke feiten.
- Bent u hoofdzakelijk belast met gegevensverwerkingen die regelmatige en stelselmatige observatie op grote schaal eisen?
De rol van Data Protection Officier of DPO mag u toekennen aan een bestaande werknemer. Diens andere verantwoordelijkheden moeten echter compatibel zijn met de verplichtingen die bij de rol van DPO komen kijken. Hij of zij mag geen tegenstrijdige belangen dienen. Binnen een bedrijvengroep of concern mag één DPO aangeduid worden, zolang deze voor iedere vestiging gemakkelijk bereikbaar is. Bovendien mag de DPO als werknemer worden aangenomen door de verwerkingsverantwoordelijke, maar ook zijn taken vervullen binnen een dienstverleningsovereenkomst. De verplichte taken van zo’n DPO zijn:
- Uw organisatie en werknemers die persoonsgegevens beheren, van informatie en advies voorzien omtrent de verplichtingen die bij de GDPR komen kijken;
- De correcte naleving van de General Data Protection Regulation monitoren door middel van de Europese of lokale beschermingsvoorzieningen en de privacy policy van uw organisatie. Dit slaat ook op het trainen van betrokken werknemers en het uitvoeren van gerelateerde audits;
- Uw organisatie adviseren omtrent de verplichte risicoanalyse en de resultaten ervan;
- Samenwerken met de regionale autoriteit en als contactpersoon optreden voor uw organisatie;
- Antwoord bieden op alle vragen die te maken hebben met gegevensverwerking en de rechten van de betrokkenen wiens data verwerkt worden. Dit kunnen uw medewerkers, klanten en dergelijken zijn.
Dataverstrekker: basisrechten
Met de invoering van de GDPR-verordening krijgt de dataverstrekker of betrokkene niet alleen extra bescherming , maar ook een aantal basisrechten, namelijk het recht om zijn of haar gegevens te bekijken, wijzigen of te wissen.
De betrokkene heeft steeds de mogelijkheid om de gegevens die hij aan u verstrekt in een gestructureerde, gangbare en machineleesbare vorm te bekijken.
Iedereen die zijn of haar persoonsgegevens doorgeeft, heeft ook het recht om onjuiste gegevens te laten verbeteren en onvolledige persoonsgegevens te laten vervolledigen. Als verwerkingsverantwoordelijke moet u iedere ontvanger van deze persoonsgegevens op de hoogte stellen van elke aanpassing.
Ten slotte geldt vanaf dan ook het ‘recht om vergeten te worden’. Dat is het recht om gegevens te laten verwijderen, maar is slechts onder volgende voorwaarden van toepassing:
- De persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld;
- De betrokkene trekt zijn toestemming in waarop de verwerking is berust en er is geen andere rechtsgrond voor de verwerking;
- De persoonsgegevens zijn onrechtmatig verwerkt.
General Data Protection Regulation versus Richtlijn 95/46/EG
De voorganger van de GDPR is de privacyrichtlijn 95/46/EG die bestaat sinds 1995, maar niet langer toereikend is in het huidige digitale tijdperk. Bovendien wil de EU haar burgers meer controle geven over het gebruik van hun persoonlijke gegevens en de administratieve lasten verlagen voor organisaties. De oude richtlijn blijft nog tot 2018 geldig.
De GDPR is echter een verordening en niet langer slechts een richtlijn. Een richtlijn moet binnen iedere lidstaat omgezet worden naar nationale wetten, terwijl een verordening rechtstreeks geldig is. De lidstaten mogen wel nog steeds eigen accenten leggen en de nationale wetgeving aanpassen aan de eigen gebruiken. Zo zijn er bijvoorbeeld regionale verschillen in de maximumleeftijd van kinderen.
Het territoriale toepassingsgebied is ook ingrijpend bijgestuurd. Alle activiteiten van verantwoordelijken van een verwerking of een verwerker binnen de EU, ongeacht of de eigenlijke verwerking van de gegevens zich binnen de EU voltrekt, zijn onderhevig aan de GDPR. De richtlijn trof voorheen alleen de verantwoordelijken, terwijl de GDPR van toepassing is op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, ook door een verantwoordelijke of verwerker buiten de Unie.
Wilt u nagaan of u al klaar bent voor 2018?
Download dan zeker onze handige checklist.