GDPR (General Data Protection Regulation) of ook AVG (Algemene Verordening gegevensbescherming) genoemd.
Het is hier onze bedoeling om een kort en eenvoudig overzicht te geven van de Europese Verordening GDPR. Ons overzicht is zeker niet volledig maar kan u helpen om de GDPR verordening beter te begrijpen. Indien u meer informatie wenst dient u zich te richten tot de bevoegde juridische diensten of juridische instanties. Wij helpen jullie alvast op de goede weg.
Het doel van deze Europese Verordening is het beveiligingsniveau voor alle particulieren wiens persoonsgegevens verwerkt worden, te verhogen. U moet kunnen aantonen welke persoonsgegevens u verzamelt, hoe u die gebruikt en hoe deze worden beveiligd. Deze verordening wordt op 25 mei 2018 van kracht in alle Europese lidstaten. Van zodra gegevens worden verwerkt van natuurlijke personen die zich in de Europese Unie bevinden, is de GDPR van toepassing.
1) Wat zijn persoonsgegevens?
- gegevens waarmee men de klant kan identificeren (e-mailadressen, bestelgegevens,...).
- gegevens waarmee men de klant onrechtstreeks kan identificeren (locatiegegevens, IP-adressen,...)
2) Men moet weten via welk kanaal men de gegevens krijgt (vb. bestelling, Facebook, degustatie, nieuwsbrief...). De gegevens moeten traceerbaar zijn.
3) Men moet een register bijhouden met gegevens en dit per kanaal. Dus welke persoonsgegevens komen via welk kanaal. Is niet verplicht voor kleine bedrijven maar is toch zeer sterk aanbevolen. Grote ondernemingen zijn verplicht om een register bij te houden + een verantwoordelijke aan te stellen.
4) Register moet antwoord bieden op:
- waarom is de verzameling van de persoonsgegevens noodzakelijk
- waarom kan het niet in een geanonimiseerde vorm
- hoelang blijven de gegevens bewaard
- hoe worden de gegevens geanonimiseerd
5) Zeggen waarom men persoonsgegevens nodig heeft en wat men ermee doet.
6) De klant heeft het recht om vergeten te worden. Praktisch zou zijn dat de klant zijn gegevens online kan bekijken, aanpassen en/of verwijderen.
7) Men moet toestemming vragen voor het verzamelen/bijhouden van informatie tenzij het van "gerechtvaardigd belang" is. Wat is "gerechtvaardigd belang"? Bijvoorbeeld als men een webshop heeft dient men de bestelling te kunnen leveren. Het is dus normaal dat men hiervoor het leveringsadres vraagt.
8) Men mag enkel de meest relevante persoonsgegevens vragen en men moet automatisch de meest privacy vriendelijke instellingen toepassen. Dus de verplichte velden beperken tot het strikt noodzakelijke.
9) Men moet bijhouden:
- wat men bijhoudt
- hoeveel
- hoelang
- wie er toegang heeft tot deze informatie
10) Personeel die omgaat met persoonsgegevens: opleiden.
11) Wat zijn de beveiligingsmaatregelen van het bedrijf.
12) Er bestaat een cyberverzekering.
13) Niet meer vragen dan dat men nodig heeft. Enkel zaken vragen met een bepaald doel.
14) Zaken van "gerechtvaardigd belang" zeker opnemen in de algemene voorwaarden.
15) Bij een datalek (smart gestolen, pc gestolen, hacking...) heeft men 72 uren de tijd om de instanties (de Privacycommissie) te verwittigen. Men moet bewijzen dat men alles heeft gedaan om dit te voorkomen en dat men alles had beveiligd.
16) De rechten van de betrokkene moeten uitdrukkelijk vermeld worden.
17) Wat men moet opnemen in zijn privacyverklaring:
- de identiteit van de persoon die de gegevens gaat verwerken
- recht op inzage in de gegevens
- recht op correctie gegevens
- recht om vergeten te worden
- recht op beperking van de verwerking
- recht op bezwaar tegen de verwerking
- recht op gegevens overdracht
- hoe men bovenstaande gegevens kan aanvragen of wijzigen
De privacyverklaring moet worden opgenomen op de website of webshop. Liefst in een duidelijke en eenvoudige taal.
18) Privacy vriendelijk opstellen van de algemene voorwaarden: "opt-in": men vraagt de betrokkene expliciet en aantoonbaar zijn toestemming voorafgaand aan de verzameling en verwerking van de gegevens (aanvinken).
19) U moet de bewaartermijn van de persoonsgegevens die u verwerkt duidelijk vaststellen. U dient een mechanisme in te voeren waarmee u kunt nagaan of de persoonsgegevens wel werkelijk ontoegankelijk zijn nadat de vastgestelde termijn is afgelopen.
20) Met betrekking tot derde partijen waarmee men gegevens deelt moet men een goede overeenkomst afsluiten. Men moet o.a. afspraken maken over:
- duurbeschrijving van de gegevensverwerking
- doeleinden van de gegevensbewerking
- beveiligingsmaatregelen
- wie de verantwoordelijke is
21) Een verordening zou geen verordening zijn als er geen sancties zouden zijn bij het niet naleven van de wet. De grootte van de geldboete zal van geval tot geval afhankelijk zijn.
Interessant om weten is dat de Belgische "privacy commission" een 13 stappenplan heeft uitgebracht om u te ondersteunen. Wij geven u alvast de link mee.