De Europese Algemene Verordening Gegevensbescherming (AVG), hetzij de General Data Protection Regulation (GDPR), trad reeds op 24 mei 2016 in werking, maar bedrijven kregen nog tot 25 mei 2018 de tijd om zich aan de nieuwe richtlijnen aan te passen. Ieder bedrijf – groot of klein – dat persoonlijke data bijhoudt, moet deze regels naleven, op straffe van financiële sancties die maximaal kunnen oplopen tot 20 miljoen euro of 4% van de bedrijfsomzet.

De verordening is van toepassing op iedereen die buiten een zuiver persoonlijke of huishoudelijke activiteit persoonsgegevens verzamelt, verwerkt, opslaat of wat dan ook, ongeacht of dit geautomatiseerd gebeurt. Deze definitie is zeer ruim, zelfs het bijhouden van e-mails met persoonlijke gegevens in een programma zoals Outlook, voldoet aan deze definitie omdat de gegevens op een gestructureerde wijze worden bijgehouden (men kan bv. filteren en zoeken).

Ook de definitie van ‘persoonsgegevens’ is zeer ruim op te vatten, nl. alle informatie over een identificeerbare persoon worden hierdoor gevat. Als algemene basisregels mogen persoonsgegevens slechts mogen worden verwerkt:
– Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder gaan dan dat:
o Mits toestemming van de betrokkene
o Voor de uitvoering van de overeenkomst met de betrokkene
o Voor de uitvoering van een wettelijke verplichting
o Ter vrijwaring van het vitaal belang van een persoon
o In het algemeen belang of het openbaar gezag
o In het gerechtvaardigde belang van de onderneming die de gegevens verwerkt

– Mits het nemen van alle redelijke maatregelen om de juistheid van de gegevens te waarborgen

– Volgens een afdoend veiligheidsniveau dat bescherming biedt tegen onwettige verwerking, verlies, vernietiging, kwaliteitsverlies van de gegevens

– De betrokken personen dienen transparant te worden verwittigd van de gegevensverwerking en hun rechten dienaangaande.

De verwerking van gevoelige gegevens (bv. gezondheidsgegevens) is aan strengere voorschriften onderworpen.

Van de bedrijven wordt verwacht dat zij actief de naleving van deze voorschriften nastreven en dat zij dit ook kunnen aantonen (documenteren). Specifieke regels gelden in bepaalde gevallen. Zo moeten grote ondernemingen (>= 250 wn) een register van de verwerkingsactiviteiten bijhouden en moeten bedrijven die op grote schaal verregaande of bepaalde gevoelige persoonsgegevens verwerken, een Functionaris voor Gegevensbescherming (Data Protection Officer) aanstellen.

Ook voorziet de regelgeving in diverse rechten voor de persoon wiens gegevens worden verwerkt. Zo moet hij bij de verzameling van de gegevens bepaalde informatie ontvangen, kan hij de correctie of verwijdering van zijn gegevens vragen, bezwaar aantekenen tegen de gegevensverwerking (bv. voor direct marketing) e.d.m.

De sancties bij niet-naleving van de voorschriften kunnen groot zijn. Naast een schadevergoeding voor de persoon wiens belangen geschaad zijn, kunnen ook zeer aanzienlijke administratieve geldboeten worden opgelegd (tot 10 000 000 euro of 4 % van de globale omzet) en kunnen ook maatregelen worden genomen zoals een verbod op gegevensverwerking.

Bedrijven die persoonsgegevens verwerken doen er goed aan een privacy-audit door te voeren om na te gaan of al hun verwerkingsprocessen in overeenstemming zijn met de nieuwe regelgeving.

Meer informatie over deze verplichtingen vindt u oa.:
– In de Algemene Verordening Gegevensbescherming

– In een brochure “13 Stappenplan” van de Privacycommissie

Frederic Leleux
Advocaat
Master of business law