Elke onderneming weet ondertussen dat vanaf 25 mei 2018 de nieuwe Europese privacyregels definitief van kracht worden. De Algemene Verordening Gegevensbescherming (“General Data Protection Regulation”, kortweg “GDPR”) wijzigt grondig de spelregels op het vlak van de verwerking van persoonsgegevens. Ook Eubelius is de afgelopen twee jaar druk bezig geweest om haar klanten klaar te stomen voor de GDPR.
Veel ondernemingen zijn nog in volle voorbereiding en zullen de deadline van 25 mei niet (helemaal) halen. De Belgische Gegevensbeschermingsautoriteit (vroeger: privacycommissie) heeft reeds onderstreept dat elke onderneming tegen deze datum minstens een duidelijk plan moet hebben om zich in lijn te brengen met de GDPR en de inspanningen ook nadien moet volhouden. Bescherming van persoonsgegevens blijft immers ook na 25 mei een continu aandachtspunt.
Eubelius bracht vijf GDPR-verplichtingen in kaart die elke onderneming voor 25 mei 2018 zeker in de steigers moet hebben staan:
1. Register van verwerkingsactiviteiten
Elke verwerkingsverantwoordelijke of verwerker moet een register bijhouden van zijn verwerkingsactiviteiten. De Gegevensbeschermingsautoriteit kan dit register steeds opvragen. U zorgt er daarom best voor dat een ontwerp van dit register beschikbaar is tegen 25 mei.
2. Toestemming
Er zijn verschillende rechtsgronden om persoonsgegevens te verwerken, waaronder toestemming. Voor sommige verwerkingen (bv. direct marketing) zal toestemming vaak de enige mogelijke rechtsgrond zijn. De GDPR legt strengere voorwaarden op aan het verlenen van toestemming. Toestemming moet vanaf nu ondubbelzinnig worden gegeven, bv. via het aanvinken van een toestemmingsvakje of een andere actieve handeling. Impliciete toestemmingen zijn dus definitief verleden tijd. Bovendien moet u ook kunnen bewijzen dat een persoon toestemming heeft gegeven en moet u toestemming dus goed documenteren.
3. Privacy policies
Telkens wanneer uw onderneming persoonsgegevens van natuurlijke personen verwerkt (bv. inschrijven op nieuwsbrieven door klanten en prospecten, verwerken van gegevens van werknemers, …) legt de GDPR een uitgebreide informatieverplichting op. De ideale manier om hieraan te voldoen is via een degelijke privacyverklaring op uw website, via een beleid voor uw werknemers enz.
4. Overeenkomsten met dienstverleners
Met dienstverleners die in opdracht van uw onderneming persoonsgegevens verwerken, moet u een overeenkomst sluiten die een aantal zaken verplicht moet regelen. Het in kaart brengen van die dienstverleners en het nagaan of alle overeenkomsten de juiste clausules bevatten, is een belangrijke en omvangrijke taak.
5. Privacy aanspreekpunt
De GDPR heeft een nieuwe functie in het leven geroepen, zijnde de functionaris voor gegevensbescherming (“data protection officer”). Niet elke onderneming is verplicht om dergelijke functionaris te hebben. Toch is het aangewezen om vanaf 25 mei 2018 binnen de onderneming een aanspreekpunt te hebben voor alle vragen/verzoeken over de verwerking van persoonsgegevens.
Voor verdere vragen of advies over de GDPR, kan u steeds contact opnemen met Pieter Callens en Anneleen Van de Meulebroucke.