Uw organisatie GDPR compliant

Binnenkort treedt de Europese algemene verordening op gegevensbescherming (AVG of GDPR) in alle landen van de EU in werking. Om ondernemingen te begeleiden in de communicatie naar de betrokkenen, in de stappen die ze moeten zetten om hun privacy-beleid op het juiste niveau te brengen en in de bewoordingen die aangewezen zijn in deze materie, werden een aantal modellen voor het bedrijfsleven ontwikkeld.

Gepubliceerd op 25-04-2018

De verordening wordt op 25 mei 2018 'wet' voor alle lidstaten. Ook heeft de verordening gevolgen voor ondernemingen die niet gevestigd zijn in een lidstaat, maar er wel een activiteit uitoefenen en er dus gegevens van personen verwerken, bijvoorbeeld grote internetbedrijven die hun sites openstellen voor wie dan ook en die op een wereldwijde basis opereren.

Hoewel België al sinds 1992 een Privacywet kent, brengt deze verordening toch ingrijpende wijzigingen met zich mee, zowel wat betreft de geregistreerde personen, als intern in de onderneming of organisatie.

Het volstaat immers niet meer om op éénmalige wijze een kennisgeving te doen aan de betrokken personen en een aantal aangiften bij de privacy commissie in te dienen.

Integendeel: gegevensbeheer en -bescherming wordt een dynamische activiteit, die mee evolueert door de invoering van dataregistratie en de actieve opvolging van doelen en activiteiten van een onderneming. Men evolueert naar een echt systeem van risicobeheer of risk management van de persoonsgegevens waarover een onderneming of organisatie beschikt.

Zo zal de verwerkingsverantwoordelijke een risico-analyse moeten maken van de verwerkingen van de ondernemingen en verenigingen. Hij zal moeten werken aan de bewustmaking van verschillende actoren binnen een onderneming aan deze nieuwe regelgeving. Hij zal één of meerdere dataregisters moeten opstellen, de grondslagen voor de verwerkingen bepalen en beschrijven, en zorgen dat de nodige communicatie naar de betrokkenen op een duidelijke manier gedaan wordt. De rechten van de betrokkenen worden immers uitgebreid: de betrokkene heeft naast een recht op toegang en verbetering, ook een recht op schrapping en een recht op dataportabiliteit.  Verder worden de opt-out praktijken omgevormd tot opt-in keuzes die de betrokkene kan maken. En kinderen krijgen een verhoogde bescherming. 

Een verwerker moet zich houden aan de principes van privacy by design en privacy by default. Indien de hoger vermelde risico-analyse leidt tot de conclusie dat er een verhoogd risico is voor de betrokkenen, dan moet ook een data privacy impact assessment (DPIA) opgemaakt worden. Grote verwerkers of verwerkers van gevoelige gegevens moeten een data protection officer (DPO) aanstellen.

De verwerker moet ook al zijn contracten met 'ontvangers' of 'onderaannemers' opnieuw bekijken in het licht van de GDPR. Desgevallend moeten ze worden aangepast. Vooral de doorgifte van gegevens naar niet EU-landen zal onder de loep genomen moeten worden. 

Ten slotte ondergaat ook de Belgische Privacycommissie een grote wijziging. Deze wordt omgevormd tot een 'Gegevensbeschermingsautoriteit' (GBA), die een volwaardige toezichthouder wordt met alle bevoegdheden zoals bedoeld in de AVG. Deze omvorming gebeurde bij wet van 3 december 2017 (BS 10 januari 2018), die in werking treedt samen met de AVG.

Al deze beslissingen en activiteiten vragen van de onderneming eerder strategische beslissingen en natuurlijk een uitgebreid beheer van alle vormen van communicatie met de betrokkenen, de ontvangers, onderaannemers en alle stakeholders.

Om u te begeleiden in de communicatie naar de betrokkenen, in de stappen die u moet zetten om uw privacy-beleid op het juiste niveau te brengen en in de bewoordingen die aangewezen zijn in deze materie, werden een aantal modellen voor het bedrijfsleven ontwikkeld.

Ze zijn praktijkgericht en gemakkelijk aan te passen aan uw onderneming of vereniging. Ze zijn vertaald naar het Frans, Engels en Duits.

Over de auteur

mintjens-diane

Diane Mintjens heeft als jurist een lange ervaring inzake privacy-materies en databescherming. Werkzaam in de bankenwereld, waar persoonsgegevens de grondstoffen van een onderneming zijn, heeft zij een grote rol gespeeld bij de implementatie van de Privacywet in 1992 in de bank, maar ook als spreker op studiedagen binnen en buiten de bankenwereld.

Ze is lid geweest van de Privacycommissie van 1998 tot en met 2005, en van het Toezichtscomité van de Kruispuntbank van Sociale Zekerheid van 2003 tot 2005.

In de modellenreeks Bijvoorbeeld – Modellen voor het Bedrijfsleven schrijft zij over het trefwoord privacy sinds 1997.

  578