Privacy (GDPR)

PRIVACY (GDPR)

GDPR: Europese bescherming van persoonsgegevens

Zoals u ongetwijfeld heeft opgevangen, gelden vanaf 25 mei 2018 in Europa nieuwe regels met betrekking tot de bescherming van persoonsgegevens. Meer bepaald gaat het om de veelbesproken Europese GDPR-regelgeving (General Data Protection Regulation oftewel AVG, Algemene Verordening Gegevensbescherming). In onze blog vindt u meer informatie over de GDPR-regelgeving: De GDPR binnen mijn onderneming: geen reden tot paniek. Soortgelijke wetgeving inzake gegevensbescherming bestond overigens reeds sinds 1992 (Privacywet), maar de nieuwe regelgeving brengt enkele nieuwe aandachtspunten en vereisten met zich mee.

Principes van privacy bescherming

Het principe dat ten grondslag ligt aan de privacy regelgeving is dat ondernemingen voorzichtig en bewust moeten omspringen met de persoonlijke gegevens van hun klanten en werknemers. Hiertoe zijn er enkele regels die voorkomen dat deze persoonsgegevens te grabbel worden gegooid of worden misbruik voor oneigenlijke doeleinden. U kan een beroep op ons kantoor om te inventariseren of uw onderneming op een correcte wijze persoonsgegevens beheert. Bovendien is Dries Peeters in het bezit van een officieel DPO-certificaat, zodat hij eveneens kan optreden als data protection officer (DPO) voor uw onderneming. Meer informatie over de rol van de DPO vindt u in onze publicatie De functionaris voor gegevensbescherming: nu maatregelen nemen.

Kosteloze privacy modellen beschikbaar op onze website

Op onze website bieden wij ook enkele kosteloze modeldocumenten aan, die u op weg kunnen helpen om uw onderneming ‘GDPR-proof’ te maken. Het gaat meer bepaald om een privacy- en cookieverklaring, een privacyverklaring tussen werkgever en werknemeren een verwerkersovereenkomst. Deze documenten moeten op bepaalde punten nog verder worden aangevuld of aangepast in functie van de specifieke noden van uw onderneming en activiteiten. Indien gewenst, kunnen wij u uiteraard bijstaan bij het finaliseren en finetunen van deze modellen. U dient ook een register bij te houden van alle persoonsgegevens die in het bezit zijn van uw onderneming. Dit kan in een eenvoudig Excel-bestand of middels een van de vele modellen die u online vindt. Op die manier heeft u een overzicht van de persoonsgegevens en kan u ook eenvoudig klachten of vragen van uw klanten behandelen. De privacy regelgeving biedt uw klanten immers heel wat rechten, zoals een recht op aanpassing en verwijdering van de gegevens.

Privacy- en cookieverklaring: verplicht indien u persoonsgegevens verzamelt via uw website

De privacy- en cookieverklaring is onder meer relevant voor de persoonsgegevens die via uw website door (potentiële) klanten worden ingevoerd, zoals de naam en het e-mailadres bij een contactformulier, etc. De persoonsgegevens die op uw website kunnen worden verstrekt, de doeleinden en rechtsgronden van de verwerking van deze persoonsgegevens alsook de bewaartermijn moeten kenbaar worden gemaakt. Ook moet u aan de klant meedelen of zijn persoonsgegevens worden meegedeeld aan derden. Zo ja, is het uiteraard ook relevant aan welke derden. Het meedelen van persoonsgegevens aan derden lijkt verregaand, maar is dat in de praktijk niet: u zal wellicht de gegevens van uw klanten verzamelen in een of andere software, zodat de gegevens dus ook zichtbaar zijn voor de softwareleverancier. Verder is van belang dat voor direct marketing (d.i. reclameboodschappen voor producten of diensten) t.a.v. natuurlijke personen strikte regels gelden. Zo moet er onder meer bij het opvragen van de persoonsgegevens onmiddellijk gevraagd worden aan de gebruiker of hij zijn recht op bezwaar tegen direct marketing wenst uit te oefenen.

Voor wat betreft cookies dient u kenbaar te maken welk soort cookies uw website gebruikt en voor welke doeleinden. Het gebruik van cookies is overigens slechts toegestaan op voorwaarde dat de gebruiker zijn toestemming hiertoe heeft gegeven na ingelicht te zijn over het cookiebeleid.

Privacyverklaring tussen werkgever en werknemer

Als werkgever bent u niet enkel verplicht om zorgvuldig om te gaan met de persoonsgegevens van uw klanten en prospecten, ook uw werknemers moeten worden ingelicht over de verwerking van hun persoonsgegevens. Dit kan via een privacyverklaring tussen werkgever en werknemer, die als addendum bij de arbeidsovereenkomst kan worden gevoegd.

U staat er misschien niet altijd bij stil, maar werkgevers beschikken over heel wat informatie m.b.t. hun werknemers: niet alleen de naam, maar ook het e-mailadres, het telefoonnummer, de geboortedatum, het rijksregisternummer, het bankrekeningnummer, de gezinssamenstelling, de opleiding, etc. zijn meestal in het bezit van de werkgever. Sterker nog, veel van deze informatie is noodzakelijk om de arbeidsovereenkomst te kunnen uitvoeren (bv. rijksregisternummer voor belastingen en sociale zekerheid, rekeningnummer voor het storten van het loon).

Verder worden de gegevens van de werknemer doorgaans meegedeeld aan minstens één derde partij, nl. het sociaal secretariaat van de werkgever. Het doorgeven van persoonsgegevens aan een derde wordt in de GDPR-regelgeving kritisch beoogd, maar ook dit is een noodzaak in de arbeidsrelatie. De werkgever heeft dus best wat vrijheid om de persoonsgegevens van zijn werknemers te verwerken. Het is dan ook des te belangrijker dat de werknemer correct wordt geïnformeerd over de verwerking van zijn persoonsgegevens.

Verwerkersovereenkomst: van groot belang voor softwareleveranciers

In de verwerkersovereenkomst komen de rechten en plichten van de verwerkingsverantwoordelijke en de verwerker (die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt) aan bod. Men valt vrij snel onder de term van “verwerker” aangezien het verwerken van persoonsgegevens ruim wordt opgevat. In de praktijk valt een softwareleverancier vrijwel altijd onder de term “verwerker”. De softwareleverancier stelt nl. software ter beschikking van de klant (de verwerkingsverantwoordelijke) die daarin persoonsgegevens zal invoeren (bv. van zijn personeel) waarna de verwerkingsverantwoordelijke door middel van de software deze persoonsgegevens kan verwerken. Indien de softwareleverancier echter back-ups, cloudtoepassingen, testomgevingen, etc. maakt, ‘verwerkt’ ook hij de persoonsgegevens en wordt hij dus als verwerker beschouwd.

Tussen de verwerker en de verwerkingsverantwoordelijke moet daarom een verwerkersovereenkomst worden afgesloten, waarin duidelijk is opgenomen hoe de persoonsgegevens worden verwerkt, welke beveiliging wordt toegepast, etc.

Euregionaal of internationaal ondernemen? Quasi-uniforme bescherming in Europa

Indien u grensoverschrijdend onderneemt, verzamelt u wellicht ook persoonsgegevens van personen uit verschillende landen. In de Europese Unie is dit niet zo problematisch, aangezien de GDPR-regelgeving in de volledige EU geldt. Niettemin dient u in acht te nemen dat elke lidstaat toch bepaalde bijzondere regels heeft. Ook de handhaving door de bevoegde toezichthoudende autoriteit (Gegevensbeschermingsautoriteit) verschilt doorgaans. Indien u ook buiten de Europese Unie persoonsgegevens verzamelt, ontstaat er vaak een spanningsveld tussen de verplichtingen uit de Europese regelgeving en andere regelgevingen, zoals die van de Verenigde Staten. Uiteraard kunnen wij u bijstaan bij het correct beheren van buitenlandse persoonsgegevens.