Gegevensverwerking & GDPR

Wat is GDPR (AVG)?

De General Data Protection Regulation (GDPR), of de Algemene Verordening Gegevensbescherming (AVG), is een wetgeving in de Europese Unie (EU) omtrent gegevensbescherming en privacy.

Alle ondernemingen, overheidsdiensten, organisaties en instellingen die persoonlijke gegevens van EU-burgers verwerken, gebruiken, registreren of bewaren, moeten voldoen aan de GDPR.

Wat zijn de GDPR-verplichtingen?

De GDPR brengt een aantal verplichtingen met zich mee. Het is belangrijk om dit voldoende te onderzoeken zodat de implementatie correct verloopt. Laat je eventueel bijstaan door een advocaat of specialist in dit vakgebied.

Wettelijke grondslag

De verwerking van persoonsgegevens moet op één van onderstaande grondslagen gebaseerd zijn:

1. De persoon waarvan je de gegevens verwerkt heeft (actief) toestemming verleend.

2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst.

3. De verwerking is noodzakelijk omwille van wettelijke verplichtingen.

4. De verwerking is noodzakelijk om vitale belangen te beschermen.

5. De verwerking is noodzakelijk om een taak van algemeen belang of openbaar gezag uit te oefenen.

6. De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

Verwerkingsregister

Je bent verplicht om een gedetailleerde interne documentatie te voorzien van de verwerking van persoonsgegevens. Stel een verwerkingsregister op waarin je documenteert hoe je persoonsgegevens bewaart, van waar deze gegevens komen en hoe en waarom je deze gegevens verwerkt. Denk ook aan de bewaartermijnen.

Data Protection Officer (DPO)

In bepaalde gevallen ben je verplicht om een DPO aan te stellen.

Privacy policy & cookies

Zorg voor een transparante en begrijpbare communicatie over hoe je persoonsgegevens verzamelt, gebruikt en verwerkt. Stel een duidelijke privacy policy op en communiceer dit naar uw werknemers, klanten en andere betrokkenen.

Rechten van de betrokkene

Zorg ervoor dat de betrokkenen hun rechten onder de GDPR kunnen uitoefenen, zoals:

• het recht op toegang en inzage tot de persoonsgegevens

• het recht op rectificatie

• het recht om vergeten te worden en

• het recht om bezwaar te maken tegen de verwerking.

Voorzie hiervoor de nodige contactgegevens of een aanspreekpunt. Zorg er ook voor dat de betrokkene op een gebruiksvriendelijke manier een aanvraag kan indienen.

Gegevensbeveiliging

Zorg voor de nodige infrastructuur en beveiligingen om de persoonsgegevens zo sterk mogelijk te beschermen. Dit omvat het versleutelen van gegevens, het beperken van toegang tot gegevens en het regelmatig testen van beveiligingssystemen.

Procedure voor datalekken

Voorzie de nodige procedures om datalekken te vinden, te onderzoeken en te rapporteren. Zorg ervoor dat personeelsleden op een snelle en efficiënte manier een datalek kunnen melden.

Maak bijvoorbeeld standaard e-mailsjablonen en/of formulieren met relevante vragen en infovelden op en stel deze ter beschikking aan je interne leden.

Gegevensverwerkingsovereenkomsten

Als je persoonsgegevens deelt met derden, zoals cloudproviders of IT-dienstverleners, zorg er dan voor dat u een schriftelijke overeenkomst heeft die voldoet aan de vereisten van de GDPR en die de verantwoordelijkheden van de gegevensverwerker duidelijk definieert.

Sensibiliseer interne sleutelfiguren & personeel

Zorg ervoor dat de personen die een belangrijke rol in de onderneming hebben voldoende op de hoogte zijn van deze wetgeving zodat de nodige implementaties kunnen voorzien worden.

Voorzie voor je personeelsleden voldoende interne of externe opleidingen zodat ze het belang inzien van de bescherming van persoonlijke data. Naast de GDPR is het eveneens belangrijk dat medewerkers voldoende kennis hebben van cyber security en het veilig omgaan met gevoelige data.

Dergelijke opleidingen kunnen genieten van de KMO-portefeuille.

Gegevensbeschermingsautoriteit (GBA)

De gegevensbeschermingsautoriteit staat in voor het toezicht over de toepassing van de GDPR in België. Datalekken moeten in bepaalde gevallen bij de GBA gemeld worden.

Toolbox

De GBA stelt een aantal hulpmiddelen en tools ter beschikking zodat je als ondernemer weet waarmee je moet rekening houden bij de implementatie van de GDPR.