Gegevensbescherming (GDPR)

GEGEVENSBESCHERMING (GDPR)

GDPR: Europeesrechtelijke bescherming van persoonsgegevens

Inmiddels gelden de Europeesrechtelijke regels met betrekking tot de bescherming van persoonsgegevens reeds enige tijd. De veelbesproken GDPR (General Data Protection Regulation oftewel AVG, Algemene Verordening Gegevensbescherming) is immers van toepassing sinds 25 mei 2018. In onze blog vindt u meer informatie over de GDPR-regelgeving: De GDPR binnen mijn onderneming: geen reden tot paniek. Soortgelijke wetgeving inzake gegevensbescherming bestond overigens reeds sinds 1992 (Privacywet), maar de nieuwe regelgeving brengt enkele nieuwe aandachtspunten en vereisten met zich mee.

Hieronder vindt u een kort overzicht van enkele belangrijke aspecten van de regelgeving inzage de gegevensbescherming.

Principes van de bescherming van persoonsgegevens

Het principe dat ten grondslag ligt aan de regelgeving omtrent de bescherming van persoonsgegevens is dat ondernemingen voorzichtig en bewust moeten omspringen met de persoonlijke gegevens van hun klanten en werknemers. In het kader van de nieuwe technologieën is de noodzaak voor de bescherming enkel groter geworden. Om die reden geldt er een waaier aan regels die erop gericht zijn de persoon, om wiens persoonsgegevens het gaat, te informeren en te voorkomen dat zijn/haar persoonsgegevens te grabbel worden gegooid of worden misbruik voor oneigenlijke doeleinden.

U kan een beroep op ons kantoor om uw onderneming te begeleiden in de stappen om de GDPR in uw onderneming te implementeren of uw processen te optimaliseren op het vlak van gegevensbescherming. Bovendien heeft Wim Wijsmans ervaring als data protection officer (DPO) en kan hij deze rol voor uw onderneming opnemen. Meer informatie hierover vindt u in onze publicatie De functionaris voor gegevensbescherming: nu maatregelen nemen.

Privacy- en cookieverklaring: verplicht indien u persoonsgegevens verzamelt via uw website

De privacy- en cookieverklaring is onder meer relevant voor de persoonsgegevens die via uw website door (potentiële) klanten worden ingevoerd, zoals de naam en het e-mailadres bij een contactformulier, etc. De persoonsgegevens die op uw website kunnen worden verstrekt, de doeleinden en rechtsgronden van de verwerking van deze persoonsgegevens alsook de bewaartermijn moeten kenbaar worden gemaakt. Ook moet u aan de klant meedelen of zijn persoonsgegevens worden meegedeeld aan derden. Zo ja, is het uiteraard ook relevant aan welke derden. Het meedelen van persoonsgegevens aan derden lijkt verregaand, maar is dat in de praktijk niet: u zal wellicht de gegevens van uw klanten verzamelen in een of andere software, zodat de gegevens dus ook zichtbaar zijn voor de softwareleverancier.

Verder is van belang dat voor direct marketing (d.i. reclameboodschappen voor producten of diensten) t.a.v. natuurlijke personen strikte regels gelden. Zo gelden er bijzondere informatieverplichtingen en moet er bij het opvragen van de persoonsgegevens onmiddellijk gevraagd worden aan de gebruiker of hij zijn recht op bezwaar tegen direct marketing wenst uit te oefenen.

Voor wat betreft cookies dient u kenbaar te maken welk soort cookies uw website gebruikt en voor welke doeleinden. Het gebruik van cookies is in de meeste gevallen overigens slechts toegestaan indien de gebruiker zijn toestemming hiertoe heeft gegeven na ingelicht te zijn over het cookiebeleid.

Privacyverklaring tussen werkgever en werknemer

Als werkgever bent u niet enkel verplicht om zorgvuldig om te gaan met de persoonsgegevens van uw klanten en prospecten, ook uw werknemers moeten worden ingelicht over de verwerking van hun persoonsgegevens. Dit kan via een privacyverklaring tussen werkgever en werknemer, die als addendum bij de arbeidsovereenkomst kan worden gevoegd.

U staat er misschien niet altijd bij stil, maar werkgevers beschikken over heel wat informatie m.b.t. hun werknemers: niet alleen de naam, maar ook het e-mailadres, het telefoonnummer, de geboortedatum, het rijksregisternummer, het bankrekeningnummer, de gezinssamenstelling, de opleiding, etc. zijn meestal in het bezit van de werkgever. Sterker nog, veel van deze informatie is noodzakelijk om de arbeidsovereenkomst te kunnen uitvoeren (bv. rijksregisternummer voor belastingen en sociale zekerheid, rekeningnummer voor het storten van het loon).

Verder worden de gegevens van de werknemer doorgaans meegedeeld aan minstens één derde partij, nl. het sociaal secretariaat van de werkgever. Het doorgeven van persoonsgegevens aan een derde wordt in de GDPR-regelgeving kritisch beoogd, maar ook dit is een noodzaak in de arbeidsrelatie. De werkgever heeft dus best wat vrijheid om de persoonsgegevens van zijn werknemers te verwerken. Het is dan ook des te belangrijker dat de werknemer correct wordt geïnformeerd over de verwerking van zijn persoonsgegevens.

Verwerkersovereenkomst: van groot belang voor softwareleveranciers

In de verwerkersovereenkomst komen de rechten en plichten van de verwerkingsverantwoordelijke en de verwerker (die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt) aan bod. Men valt vrij snel onder de term van “verwerker” aangezien het verwerken van persoonsgegevens ruim wordt opgevat. In de praktijk valt een softwareleverancier vrijwel altijd onder de term “verwerker”. De softwareleverancier stelt nl. software ter beschikking van de klant (de verwerkingsverantwoordelijke) die daarin persoonsgegevens zal invoeren (bv. van zijn personeel) waarna de verwerkingsverantwoordelijke door middel van de software deze persoonsgegevens kan verwerken. Indien de softwareleverancier echter back-ups, cloudtoepassingen, testomgevingen, etc. maakt, ‘verwerkt’ ook hij de persoonsgegevens en wordt hij dus als verwerker beschouwd.

Tussen de verwerker en de verwerkingsverantwoordelijke moet daarom een verwerkersovereenkomst worden afgesloten, waarin duidelijk is opgenomen hoe de persoonsgegevens worden verwerkt, welke beveiliging wordt toegepast, etc.

Euregionaal of internationaal ondernemen? Quasi-uniforme bescherming in Europa

Indien u grensoverschrijdend onderneemt, verzamelt u wellicht ook persoonsgegevens van personen uit verschillende landen. In de Europese Unie is dit niet zo problematisch, aangezien de GDPR-regelgeving in de volledige EU geldt. Niettemin dient u in acht te nemen dat elke lidstaat toch bepaalde bijzondere regels heeft. Ook de handhaving door de bevoegde toezichthoudende autoriteit (Gegevensbeschermingsautoriteit) verschilt doorgaans. Wim Wijsmans heeft zich dan ook verdiept in de aanpak in de landen van de Euregio.

Indien u ook buiten de Europese Unie persoonsgegevens verzamelt, ontstaat er vaak een spanningsveld tussen de verplichtingen uit de Europese regelgeving en andere regelgevingen, zoals die van de Verenigde Staten. Uiteraard kunnen wij u bijstaan bij het correct beheren van buitenlandse persoonsgegevens of de doorgifte van persoonsgegevens aan landen buiten de Europese Unie.