Tenzij u de voorbije maanden van de digitale aardbol verdwenen was, zal u – tot vervelens toe – de term ‘GDPR’ in uw mailbox hebben aangetroffen. U kreeg waarschijnlijk mails van overal met vragen of u op de mailinglijst wil blijven of een vernieuwd ‘Privacy Statement’. Heeft u zelf ook een dergelijke mailing uitgezonden en slaapt u nu op uw twee oren wat privacy betreft, dan moet ik u teleurstellen: de kans bestaat dat u nodeloos de helft van uw mailinglijst kwijt bent en de kans bestaat evenzeer dat de kous daarmee niet af is. Hierbij 10 tips waaraan uw privacybeleid moet voldoen.
- Breng uw data in kaart
Een goed begin is het uitvoeren van een informatie-audit. Breng volledig in kaart welke persoonsgegevens uw onderneming bijhoudt, waar die data zich bevindt, wat u ermee doet, met welk recht u dat doet, welke beveiliging er voorzien is enz. Door dit onderzoek staat u stil bij alle aspecten van uw dataverwerking en dat is nodig om deze in overeenstemming met de privacyregels te brengen. De term ‘verwerking van persoonsgegevens’ is heel ruim: elke verzameling, opslag, verwerking, op welke wijze dan ook van elke informatie aangaande een identificeerbare persoon, valt hieronder. Zelfs mails van personen, die u bijhoudt in uw e-mailprogramma, kunnen onder deze definitie vallen.
U brengt aldus elke informatie in kaart die u ontvangt of bijhoudt van identificeerbare personen.
- Leg een register aan
Leg een register aan, waarin u bijhoudt welke data u momenteel verwerkt (dit gaat in één beweging met het uitvoeren van de informatie-audit) en houd dit register up-to-date met alle toekomstige verwerkingen. Het bijhouden van een register is verplicht voor iedere onderneming die persoonsgegevens verwerkt, behalve indien u slechts op incidentele basis niet-gevoelige gegevens verwerkt, er geen risico is voor de betrokkenen en uw onderneming minder dan 250 werknemers telt. Van zodra één van die voorwaarden niet voldaan is, is het register verplicht. Het is echter ten allen tijde aangeraden een register aan te leggen. De GDPR verplicht bedrijven immers om de naleving van de regels te kunnen aantonen (verantwoordingsplicht).
Een voorbeeld van verwerkingsregister is te vinden op de website van de Gegevensbeschermingsautoriteit (www.gegevensbeschermingsautoriteit.be).
- Verantwoord uw verwerking
Persoonsgegevens bijhouden is niet zomaar toegelaten, dit mag enkel onder een van volgende voorwaarden:
- De betrokkene heeft toestemming gegeven voor specifieke doeleinden
- De verwerking is noodzakelijk voor de uitvoering van de overeenkomst die u met de betrokkene hebt
- U heeft de gegevens nodig om aan een wettelijke verplichting te voldoen
- U verwerkt de gegevens om de vitale belangen van iemand te beschermen
- U vervult een taak van algemeen belang of het openbaar gezag
- U heeft de data nodig ter behartiging van uw gerechtvaardigde belangen op voorwaarde dat de belangen van de betrokkene niet zwaarder doorwegen.
Andere gronden dan deze zijn niet toegelaten. Noteer in uw verwerkingsregister voor elke verwerking op welke van deze rechtvaardigingsgronden u zich baseert.
- Bewijs de toestemming
De meest frequente rechtvaardigingsgrond is de toestemming van degene wiens gegevens u verwerkt. Daarom kreeg u de voorbije weken zoveel mails met de vraag om toe te stemmen om in een of andere mailinglijst opgenomen te zijn. Nieuw is dat niet, want ook onder de vroegere wetgeving mocht u niet zomaar gegevens bijhouden, tenzij u de toestemming had van de betrokkene. De GDPR grijpt vooral in op het vlak van de verantwoordingsplicht en de sancties. U moet kunnen bewijzen dat u de toestemming hebt. Als u die toestemming al hebt van vroeger, moet u niet per se mailings uitsturen om dat nogmaals bevestigd te krijgen.
De toestemming geldt echter enkel voor specifieke doeleinden. Als u bijvoorbeeld de toestemming van de betrokkene kreeg in het kader van een bestelling, dan mag u die gegevens niet zonder meer gebruiken om reclame toe te zenden. Ook moet de betrokkene zijn toestemming steeds kunnen intrekken, voorzie dus de mogelijkheid om zich uit te schrijven uit uw adressenbestand. Als u digitale diensten levert moet u een systeem inbouwen om de leeftijd van de betrokkene te verifiëren.
- Informeer de betrokkenen
De GDPR voorziet in een waslijst van mededelingen die u de betrokkenen moet overmaken (oa. de verwerkingsdoeleinden, rechtvaardigingsgrond, bewaartermijn, rechten van de betrokkene, bron, klachtenprocedure, edm.). Deze zaken kan u opnemen in een Privacy Statement, een document dat u online of op papier overmaakt.
- Waarborg de rechten van de betrokkene
De GDPR geeft de personen van wie gegevens worden verwerkt, enkele specifieke rechten, oa.:
- inzagerecht
- verbetering of uitwissing
- recht van bezwaar
- recht op overdracht van gegevens.
Bouw in uw onderneming procedures in en wijs verantwoordelijken aan om binnen de wettelijke termijnen aan dergelijke verzoeken te voldoen.
- Ga verantwoord om met data
Het behoort tot de good practices van ondernemingen om privacybescherming in te bouwen in alle werkprocessen. Voorbeelden van aangeraden maatregelen zijn een pseudonimisering, versleuteling en de beperking van bijgehouden data tot het strikt noodzakelijke.
Wanneer u data verwerkt met een potentieel hoog risico, moet een Data Protection Impact Assessment (DPIA) uitgevoerd worden: een beoordelingsrapport over het effect van de voorgenomen verwerking op de bescherming van de persoonsgegevens. Bedrijven die op grote schaal personen observeren en daarover gegevens bijhouden of die op grote schaal gevoelige gegevens bijhouden, zijn verplicht een Data Protection Officer aan te stellen.
- Bescherm uw data
Evalueer samen met uw IT-dienst of alle nodige maatregelen genomen zijn om de data te beveiligen en test deze. In het kader van de verantwoordingsplicht, zal u ook hier de inspanningen moeten kunnen aantonen. Als er zich toch een datalek voordoet, bent u verplicht dit te melden aan de betrokkene en de gegevensbeschermingsautoriteit, tenzij er geen risico voor de betrokkene bestaat.
- Weet door wie en waar uw data verwerkt worden
Als u beroep doet op derden om uw gegevens te verwerken (bv. een online mailingsysteem, een CRM-toepassing, cloudopslag, host externe server, …), dan bent u verantwoordelijk om met betrouwbare partners in zee te gaan en met hen een overeenkomst af te sluiten met een verplichte inhoud. Wanneer deze data de EU verlaat (bv. server in het buitenland staat of een onderneming met buitenlandse vestiging, zijn specifieke verplichtingen van toepassing zoals het opstellen van bindende bedrijfsvoorschriften om de naleving van de GDPR in het buitenland te waarborgen.
- Leg een GDPR dossier aan
Aangezien de GDPR voorschrijft dat u gehouden bent uw inspanningen inzake privacy en gegevensbescherming aan te tonen, doet u er goed aan dit alles goed te documenteren en bij te houden, onder meer het verwerkingsregister, de verkregen toestemmingen, de beveiligingsmaatregelen edm.
De GDPR voorziet in zeer zware sancties voor bedrijven die de regels aan hun laars lappen: boetes tot 20 miljoen euro of 4% van de omzet als dat groter is en een verbod om nog gegevens te verwerken, behoren tot de theoretische mogelijkheden. Staatssecretaris Philippe De Backer heeft echter reeds te kennen gegeven dat geen heksenjacht ontketend wordt ten aanzien van de KMO’s die nog niet volledig klaar zouden zijn. De inspanning dat men werk maakt van de GDPR is (tijdelijk) al genoeg.
Een handige online tool waarmee u perfect GDPR compliant wordt, is beschikbaar op www.theprivacyhouse.com.
30 mei 2018
Frederic Leleux
Advocaat – master in het ondernemingsrecht – curator