De regelgeving van GDPR toegepast voor bedrijven

Vanaf mei 2018 hebben consumenten extra rechten op het vlak van privacy dankzij GDPR. Deze verstrenging van de privacywetgeving houdt in dat bedrijven op een veilige(re) manier met persoonsgegevens moeten omgaan. In de vorige blog gingen we dieper in op wat dit betekent voor consumenten. In deze blog staan we stil bij de impact voor bedrijven.

Bedrijven en organisaties die persoonsgegevens verwerken kunnen zich best nu al beginnen voorbereiden. Binnen een kleine 2 jaar is het zover en is de GDPR van kracht. Deze Europese regelgeving zal heel wat wijzigingen inhouden voor het beheer en de verwerking van data van personen.

GDPR bepaalt verschillende maatregelen waaraan bedrijven moet voldoen:

Data Protection Authority (DPA)

Dit zijn onafhankelijke Europese instanties per land die bevoegd zijn voor de gegevensbescherming. De DPA’s zijn nationaal bevoegd voor alles wat met de wetgeving rond databescherming te maken heeft. Dit is als het ware een one-stop-shop waar bedrijven terecht kunnen met al hun vragen en voor advies. In België is dit de Privacycommissie.
Indien een bedrijf meerdere vestigingen heeft binnen Europa kiest men één DPA die de leidende instantie zal zijn voor een Europese aangifte.

Data Protection Officer (DPO)

De DPO wordt een nieuwe sleutelfunctie in ondernemingen. Deze persoon is verantwoordelijk voor de gegevensbescherming van een bedrijf. Hij/zij is het eerste aanspreekpunt bij klachten, wanneer een datalek zich voordoet, enz.

Elk bedrijf moet in bepaalde gevallen een DPO aanstellen:

  • Wanneer bedrijven grootschalige verwerking doen van bijzondere categorieën van gegevens. Dit is onder meer het geval bij persoonsgegevens die specifieke informatie bevatten, zoals: gezondheidsgegevens, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, ras of etnische afkomst, lidmaatschap van een vakbond, informatie over strafrechtelijke veroordelingen en strafbare feiten…
  • De verwerking van gegevens die door hun aard, omvang en/of doeleinden observatie van de betrokkenen vereist.
  • Deze laatste is minder van toepassing voor bedrijven, maar vermelden we voor de volledigheid. Een DPO is ook vereist wanneer de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan.

In België is een DPO (beter gekend als veiligheidsconsulent) sowieso verplicht voor bedrijven met meer dan 250 medewerkers.
Deze rol kan intern opgenomen worden, maar kan ook extern ingevuld worden.

Data Protection/Privacy Impact Assessment (DPIA)

Bij projecten waarbij persoonsgegevens betrokken zijn, moeten bedrijven steeds alle risico's in kaart brengen.
Dit assessment moet ter beschikking kunnen gesteld worden van de Data Protection Authority (DPA) wanneer dit wordt opgevraagd. Bij grote risico’s dient de DPIA steeds voorgelegd te worden aan de Data Protection Authority die hierop zal toezien.

Data Protection (Privacy) by design and by default

Bij de opstart van activiteiten of projecten met persoonlijke data dient er rekening gehouden te worden met de nieuwe principes van GDPR. Bedrijven moeten steeds maximale beveiliging van persoonsgegevens nastreven. Eén van de voorstellen is bijvoorbeeld dat data altijd geëncrypteerd wordt. Dit geldt niet enkel voor nieuwe projecten maar voor de volledige lifecycle van data:

Accountability

GDPR geldt voor iedereen die data verzamelt of gegevens bijhoudt van personen. Men moet als bedrijf kunnen aantonen dat men op een verantwoorde met deze data omgaat.
Wie is nu verantwoordelijk voor data, want soms wordt er data uitgewisseld met andere partijen zoals bijv. een sociaal secretariaat. Zowel de eigenaar als de verwerker kunnen door GDPR verantwoordelijk gesteld worden voor datalekken. Stel dat je als bedrijf data uitwisselt met een sociaal secretariaat, dan moet het sociaal secretariaat er ook voor zorgen dat ze GDPR-compliant zijn en de data uitermate beschermen.  

Data Breach Notifications

Wanneer het op een bepaald moment toch fout gaat en een bedrijf het slachtoffer is van data breaches dan is men verplicht om binnen de 72u de Europese instanties te verwittigen bij datalekken met alle specifieke documentatie.

International Data Transfer

Europese data dient ten alle tijde beschermd te worden volgens de regels van GDPR.
Hierbij dienen administratieve maatregelen getroffen te worden om dit contractueel in documentvorm vast te leggen (ook tussen uw eigen vestigingen).

Boetes

De boetes kunnen oplopen tot 4% van de wereldwijde omzet (of maximum 20 miljoen EUR) bij overtredingen of lekken.
De slachtoffers van de datalekken hebben ook het recht om hiervoor een compensatie te vragen.

Dit is slechts een beknopte introductie. Bij elk van deze maatregelen zijn heel wat specifieke regels gesteld om te voldoen aan de GDPR.

Indien u meer informatie wenst over GDPR of een GDPR-workshop, contacteer ons dan.
In de volgende blog zullen we een aantal strategieën bespreken hoe u zich kan voorbereiden op GDPR.