Sinds 25 mei 2018 is de nieuwe privacy verordening (beter bekend als de GDPR) in werking.
U bent er de voorbije maanden mee om de oren geslagen. Dat de GDPR de nodige veranderingen met zich mee brengt, wist u dus ongetwijfeld al. Maar wat verandert er nu precies? En nog belangrijker, wat is de relevantie daarvan voor uw onderneming?
Waarom een nieuwe regelgeving?
Vóór de invoering van de GDPR bestonden binnen de Europese Unie 28 verschillende wetgevingen naast elkaar. Door één verordening te maken die direct van toepassing is binnen heel de Europese Unie, heeft men getracht deze verschillende privacywetgevingen te harmoniseren en op die manier de rechtszekerheid te vergroten.
Bovendien probeert de GDPR een antwoord te bieden op de razendsnelle technologische ontwikkelingen binnen de informatiemaatschappij en wil zij de bescherming van personen van wie de gegevens worden verwerkt, versterken.
Op wie is de GDPR van toepassing?
De GDPR is van toepassing op iedere onderneming, ongeacht haar grootte. Immers, iedere onderneming verwerkt persoonlijke gegevens, bv. door het voeren van de personeelsadministratie of het bijhouden van een klantenbestand.
Dit betekent echter niet dat de GDPR de lat voor iedere onderneming even hoog legt. Een KMO zal veel minder verregaande maatregelen moeten nemen dan een multinational.
Krachtlijnen
De GDPR breidt de verplichtingen van zowel de verwerker als de verantwoordelijke voor de verwerking van persoonlijke gegevens aanzienlijk uit. Zo dient tussen verwerker en verantwoordelijke voor de verwerking een verwerkersovereenkomst te worden gesloten. Ook moeten zowel de verwerker als de verantwoordelijke voor de verwerking een register van verwerkingsactiviteiten bijhouden dat bij een controle de door de Gegevensbeschermingsautoriteit moet worden voorgelegd.
Een onderneming zal de naleving van de GDPR bovendien moeten kunnen aantonen. Dit kadert in de verantwoordingsplicht. Daarom is het documenteren van keuzes belangrijk zodat een onderneming kan verantwoorden waarom het een bepaalde maatregel al dan niet invoerde.
Transparantie is van cruciaal belang Zo moet u de personen wiens gegevens u verwerkt helder informeren over hun rechten, de manier waarop zij die rechten kunnen uitoefenen en het hoe en waarom van de verwerking. U kan dit doen via het versturen van een privacyverklaring.
Tot slot voorziet de GDPR in een sterke uitbreiding van de sanctiemogelijkheden (u hoorde ongetwijfeld al over de monsterboetes), om te vermijden dat zij in de praktijk dode letter zou blijven.
Concreet
Het is belangrijk te beseffen dat deze wetgeving niet zal verdwijnen. Wacht daarom niet tot een klacht of controle van de Gegevensbeschermingsautoriteit om actie te nemen en laat u bijstaan om de persoonsgegevensverwerking binnen uw onderneming in kaart te brengen.
Bij Mahla hebben wij de nodige in-house expertise om u te adviseren op maat van uw onderneming en u bij te staan met het opstellen van de nodige documenten.
Een correct gevoerd privacybeleid komt zowel de professionele uitstraling van uw onderneming als uw nachtrust ten goede.
(door Thomas Luyten)
Mahla - Advocaten en Bemiddelaars