Alvorens we van start gaan met verdere toelichting, nemen we eerst het begrip GDPR zelf onder de loep om vervolgens dieper in te gaan op waarom en hoe.
Wat betekent GDPR?
GDPR is de afkorting van General Data Protection Regulation, in het nederlands: AVG of de Algemene Verordening Gegevensbescherming. De GDPR of AVG is van kracht gegaan op 25 mei 2018 en vervangt de EU-richtlijn gegevensbescherming uit 1995, die geen rekening hield met de technologische vooruitgang en digitalisering.
Waarom werd de GDPR ingevoerd?
De GDPR of AVG is een nieuwe EU-gegevensbeschermingswet die op 25 mei 2018 in werking is getreden. Het versterkt de EU-regels voor gegevensbescherming door individuen meer controle te geven over hun persoonsgegevens en door nieuwe rechten voor individuen vast te stellen.
De AVG is ingevoerd als reactie op de groeiende bezorgdheid over de manier waarop bedrijven persoonsgegevens verzamelen en gebruiken. De AVG is met name ontworpen om de zorgen weg te nemen over de manier waarop bedrijven persoonlijke gegevens gebruiken voor marketingdoeleinden en de manier waarop ze deze delen met derden.
De AVG vereist dat bedrijven expliciete toestemming van individuen krijgen voordat ze hun persoonlijke gegevens verzamelen, gebruiken of delen. Bedrijven moeten individuen ook duidelijke en beknopte informatie verstrekken over hun rechten onder de AVG.
Wat verstaan we onder persoonsgegevens?
Persoonlijke gegevens worden gedefinieerd als alle informatie die kan worden gebruikt om een persoon te identificeren. Dit omvat, maar is niet beperkt tot, naam, adres, telefoonnummer, e-mailadres, handvatten voor sociale media en IP-adres. In het tijdperk van big data verzamelen bedrijven steeds meer persoonsgegevens van hun klanten en medewerkers. De wet vereist dat bedrijven expliciete toestemming van individuen krijgen voordat ze hun klantgegevens, personeelsgegevens en andere persoonsgegevens verzamelen, gebruiken of delen. De AVG geeft individuen ook het recht om te weten welke persoonsgegevens over hen worden verzameld en het recht om die gegevens te laten wissen.
Wie moet de gdpr regels naleven?
De wetgeving is een verzameling voorschriften die lidstaten van de Europese Unie moeten implementeren om de privacy te beschermen.
Welke landen zijn lid van de Europese Unie?
Sinds mei 2018 bestaat de Europese Unie uit 28 lidstaten die samen een groot deel van Europa bestrijden. Deze landen zijn: Oostenrijk, België, Bulgarije, Kroatië, Cyprus, Tsjechië, Denemarken, Estland, Finland, Frankrijk, Duitsland, Griekenland, Hongarije, Ierland, Italië Letland, Litouwen, Luxemburg, Malta, Nederland Polen Portugal, Roemenië, Slowakije, Slovenië, Spanje, Zweden en het Verenigd Koninkrijk.
Niet alle Europese landen zijn lid van de EU. Enkele voorbeelden van Europese landen die geen lid zijn van de EU zijn: Albanië, Andorra, Wit-Rusland, Bosnië en Herzegovina Kosovo Montenegro Noord-Macedonië Noorwegen Rusland San Marino Servië Zwitserland Turkije Oekraïne
Is de GDPR ook op mijn onderneming van toepassing?
De AVG is niet alleen van toepassing op bedrijven die in de EU zijn gevestigd, maar ook op elke onderneming die persoonsgegevens van EU-burgers verwerkt, ongeacht waar deze is gevestigd. Dit omvat bedrijven die goederen of diensten aanbieden aan EU-burgers, of die hun persoonsgegevens verzamelen en verwerken voor andere doeleinden.
Elke organisatie, eenmanszaak, vennootschap, VZW, feitelijke vereniging, heeft wel een database (op papier of digitaal) met daarin gegevens van klanten/leveranciers/personeel/leden/… en valt daarmee onvermijdelijk onder de GDPR wetgeving, met alle te vervullen verplichtingen als gevolg.
Zelfs als de organisatie geen enkel winstdoel nastreeft of geen enkele commerciële ingesteldheid heeft. Het is dus van toepassing voor zowel de commerciële als de niet-commerciële sector.
Er zijn een paar uitzonderingen op deze algemene regel. Als men bijvoorbeeld de persoonsgegevens van EU-burgers uitsluitend voor journalistieke doeleinden verwerkt, of als het gegevens verwerkt die door de betrokkene openbaar zijn gemaakt, dan valt het mogelijk niet onder de AVG.
Hoe maak ik mijn onderneming GDPR-compliant?
Nu GDPR / AVG-wetgeving sinds 25 mei 2018 van kracht is, doen bedrijven er alles aan om ervoor te zorgen dat ze compliant zijn. Maar wat houdt GDPR-compliance eigenlijk in?
Een van de belangrijkste vereisten van de AVG is dat bedrijven klanten een duidelijke en beknopte uitleg moeten geven over hun rechten. Dit betekent het creëren of bijwerken van privacybeleid om informatie op te nemen, zoals het recht op toegang tot uw gegevens, het recht om uw gegevens te laten wissen en het recht om bezwaar te maken tegen gegevensverwerking.
Daarnaast moeten bedrijven ook processen opzetten voor het afhandelen van verzoeken van klanten met betrekking tot hun rechten onder de AVG. Deze omvatten verzoeken tot inzage, tot correcties en verwijderingen.
Ten slotte moeten bedrijven bereid zijn om datalekken binnen 72 uur na het ontdekken ervan te melden.
Welke documenten moet ik verplicht opmaken voor de GDPR?
Er zijn een aantal documenten die bedrijven moeten opstellen om te voldoen aan de AVG.
-
Verwerkingsregister
-
Intern privacybeleid
-
Verwerkersovereenkomst
-
Procedure rechten betrokkene
-
Procedure en register datalek
-
Cookie policy
-
Privacy policy
-
Disclaimer
Hoelang mag ik persoonsgegevens bijhouden volgens de GDPR?
Op grond van de AVG mogen persoonsgegevens niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden verwerkt. Dit betekent dat bedrijven een systeem moeten hebben voor het regelmatig verwijderen van persoonsgegevens die niet meer nodig zijn.
Er zijn een paar uitzonderingen op deze regel. Persoonsgegevens kunnen langer worden bewaard als dit noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden. Persoonsgegevens kunnen ook langer worden bewaard als dat nodig is om iemands rechten of belangen te beschermen, of als dit wettelijk verplicht is.
Als u niet zeker weet hoe lang u persoonlijke gegevens moet bewaren, kunt u deze het beste zo snel mogelijk verwijderen. Zo voorkom je mogelijke boetes voor het overtreden van de AVG.
Welke rechten kan elke burger uitoefenen op zijn persoonsgegevens volgens de GDPR?
Ø Informatie: u mag geen persoonsgegevens verwerken zonder hun medeweten. De GDPR bepaalt welke gegevens u aan hen moet meedelen.
Ø Inzage: ze mogen hun gegevens altijd inkijken en bijkomende informatie opvragen.
Ø Verbetering: blijken gegevens onjuist of onvolledig, dan mogen zij vragen om die gegevens te verbeteren of vervolledigen.
Ø Verwijdering: in een aantal specifieke gevallen kunnen ze vragen om ‘vergeten te worden’. Lees: voorgoed gewist te worden uit uw database.
Ø Verzet: iedereen mag zich verzetten tegen de verwerking van zijn gegevens op basis van ernstige en gerechtvaardigde redenen.
Ø Overdraagbaarheid van gegevens: in sommige gevallen mogen ze hun gegevens bij u in een standaardformaat opvragen. Op die manier kunnen ze die eenvoudig aan een andere leverancier met een gelijkaardige dienst overdragen.
Ø Klachten: iedereen heeft het recht om een klacht in te dienen bij de toezichthoudende overheid bij een inbreuk op de persoonsgegevens.
Zijn er boetes voorzien bij het niet naleven van de GDPR wetgeving?
Ja, er zijn sancties in de AVG-wetgeving. Bedrijven kunnen een boete krijgen van maximaal 4% van hun jaarlijkse wereldwijde omzet of € maximum van 20 miljoen euro (afhankelijk van wat meer is), voor het overtreden van de AVG-regels. Deze boetes zijn bedoeld om hoog genoeg te zijn om afschrikkend te werken, maar weerspiegelen ook de ernst van de inbreuk.
Naast financiële boetes geeft de AVG individuen ook het recht om een klacht in te dienen bij de toezichthoudende autoriteit als zij menen dat hun rechten zijn geschonden. Als de klacht gegrond wordt bevonden, kan de toezichthoudende autoriteit het bedrijf opdragen corrigerende maatregelen te nemen en/of een openbare berisping uit te vaardigen.
De AVG gaat echter niet alleen over het straffen van bedrijven die de wet overtreden. Het gaat er ook om bedrijven aan te moedigen proactieve stappen te ondernemen om de gegevens van mensen te beschermen en ervoor te zorgen dat individuen controle hebben over hun eigen informatie.
Hulp bij het GDPR-compliant maken van uw bedrijf?
Leadservice is gespecialiseerd in GDPR voor bedrijven en biedt ondersteuning bij de implementatie van de regelgeving zodat uw onderneming GDPR-compliant is en dus volledig in regel met de privacywetgeving
Kortom, bewustwording van alle gegevens die verwerkt worden in uw bedrijf, transparantie naar de burgers en het beschikken over de wettelijke verplichte documenten zijn prioriteit om uw onderneming GDPR-compliant te maken!
