Jouw onderneming privacy proof in vier stappen

De verplichtingen van de Europese “Algemene Verordening Gegevensbescherming” moeten ten laatste op 25 mei 2018 geïmplementeerd zijn. Bepaalde verplichtingen uit de AVG zijn een concretisering van wat onder de huidige wetgeving impliciet ook reeds verplicht is, zoals de gegevensminimalisatie die voortvloeit uit het finaliteitsbeginsel en de beperking van de verwerking. Andere bepalingen zijn nieuw of houden een gevoelige verstrenging van normen in, zoals de verhoogde verantwoordingsplicht van de verantwoordelijken.

Naast de nieuwe normen van de AVG speelt ongetwijfeld het verhoogde belang mee dat thans aan het begrip privacy wordt gegevens. Een inbreuk op de Wet Verwerking Persoonsgegevens werd vroeger slechts sporadisch opgemerkt, er werd zelden op gereageerd en er werd nog minder over geprocedeerd. Dit dreigt gevoelig te veranderen met de verhoogde boetes, een hogere plaats op de politieke agenda en een prominentere rol voor de Privacycommissie.

Hoe bereidt u zich het best voor op mei 2018 en welke transformatie moet u hiervoor ondergaan?

1. Doorlichting van de privacyhuishouding:

De ene verwerking is de andere niet. Iedere verwerking is immers gericht op welbepaalde persoonsgegevens, heeft aparte doeleinden, met soms zeer specifieke middelen en gebaseerd op een andere rechtsgrond.

Zo zal een klantenbestand voornamelijk bedoeld zijn om bepaalde goederen of diensten te leveren en de facturatie te verzorgen. Deze heeft dus een volstrekt andere finaliteit dan, bijvoorbeeld, een personeelsbestand. Afhankelijk van de verwerking zal aandacht moeten besteed worden aan de bewaartermijn, de beveiligingsmaatregelen, de doorgifte van data en dergelijke meer.

Voor ieder individueel bestand zou een evaluatie moeten worden opgemaakt met onder meer de verwerkte gegevens, de doeleinden, de middelen, de rechtsgrond, de risico’s voor de privacy van de betrokkenen, de toegang tot die gegevens en de doorgifte aan derden. Dit alles wordt dan opgenomen in een dataregister.

Het in kaart brengen van de aanwezige datastromen zou een eerste belangrijke stap moeten zijn in de implementatie van de AVG. Maak hiervoor gebruik van een afdoende vragenlijst of evaluatietool. Indien u hier niet over beschikt, neem gerust contact met ons op.

2. Interne organisatie:

De implementatie van de AVG leidt tot verschillende organisatorische maatregelen binnen uw onderneming.

Eenmaal u de verschillende gegevensstromen in uw onderneming heeft gedetecteerd, bekijkt u best wie intern bevoegd zal zijn voor welke verwerking. Kijk ook goed na of u verplicht bent om een privacyfunctionaris aan te stellen. Maar zelfs indien dit niet verplicht is, wordt het toch aangeraden om een dergelijke functionaris aan te stellen. Dit kan een personeelslid zijn of een externe dienstverlener.

Wanneer gebruik wordt gemaakt van nieuwe technologieën of er wordt gevreesd voor een aanzienlijk effect op de privacy, bent u als onderneming ook verplicht om een effectbeoordeling door te voeren. Indien deze audit wijst op een verhoogd risico, bent u verplicht om advies in te winnen bij de Privacycommissie.

De rechten van de betrokkenen vormen een andere belangrijke impact op de verwerking. Uw onderneming zal in staat moeten zijn om binnen de maand te kunnen antwoorden op verzoeken van betrokkenen. Deze kunnen gaan van het verstrekken van informatie, over het verwijderen of blokkeren van bepaalde gegevens uit het bestand, tot het exporteren en overdragen van alle gegevens van de betrokkene.

3. Technische maatregelen:

Het principe “privacy by design” legt de verplichting op om steeds in een vroeg stadium te kijken hoe de privacy zo adequaat mogelijk wordt gevrijwaard bij het uitrollen van ieder nieuw proces, product of technologie, zodat de verwerking van persoonsgegevens niet verder reikt dan nodig.

Daarnaast legt het principe van “privacy by default” de verplichting op om bij iedere keuze omtrent verwerkingsmodaliteiten de meest privacy-vriendelijke te nemen. Dit heeft implicaties op de verwerkingsvoorwaarden, het toestemmingsregime en de standaardinstellingen.

U zorgt er ook best voor dat u technisch in staat bent om de verzoeken van betrokkenen te kunnen beantwoorden, zoals hierboven reeds werd omschreven. De bestanden en de toegang ertoe kunnen technisch best zo worden georganiseerd dat ook een grote hoeveelheid aan verzoeken van betrokkenen kunnen worden verwerkt. Niet in het minste zal het recht op informatie en uitwissing een grote impact hebben wanneer van of naar derden wordt doorgegeven.

Tenslotte moet iedere verwerking van persoonsgegevens afdoende worden beveiligd. Het bewaren, verwerken en doorgeven van gegevens wordt best gedaan op afgeschermde systemen, waarbij toegang wordt beperkt tot bevoegden en de kans op lekken minimaal is. De graad van beveiliging is afhankelijk van de stand van de wetenschap en techniek, van de gevoeligheid van de gegevens, maar ook van de risico’s op datalekken en op schending van de privacyrechten.

De AVG hecht veel belang aan de bescherming van minderjarigen. Deze doelgroep is een belangrijk aandachtspunt bij het verzamelen en verwerken van persoonsgegevens.

4. Juridische huishouding:

Om volledig te voldoen aan de nieuwe bepalingen van de AVG neemt u best ook de juridische documenten door die betrekking hebben op de verwerking van persoonsgegevens.

De klassieke “privacy policy” is het middel bij uitstek om de betrokkene afdoende te informeren. Met wijzigingen die de AVG invoert, verandert uiteraard ook de informatieverplichting en moet het privacybeleid nagekeken en gewijzigd worden.

De wijze waarop met persoonsgegevens wordt omgegaan in uw onderneming zal eventueel het voorwerp moeten uitmaken van een aanpassing in de individuele of collectieve arbeidsovereenkomsten. De relevante bepalingen voor toegang tot en bescherming van de persoonsgegevens kunnen ook opgenomen zijn in een vertrouwelijkheidsovereenkomst of een intern verwerkingsbeleidsdocument.

Tot slot, indien u persoonsgegevens van derden ontvangt of naar derden doorgeeft, dient een doorgifteovereenkomst of “data transfer agreement” te worden opgesteld met voldoende garanties voor een correcte en legitieme verwerking. Doorgifte naar landen buiten de EU en EEZ verdienen extra aandacht een AVG-conforme verwerking te garanderen buiten de Europese Unie.

Hoewel mei 2018 nog veraf lijkt, doet u er best aan om een duidelijk traject op te zetten voor de implementatie van de AVG-regels en brengt u best zo snel mogelijk uw datastromen in kaart. Zo heeft u een beter idee over het traject en de te nemen maatregelen en komt u niet voor onaangename verassingen te staan.

Mocht u bijkomende vragen of opmerkingen hebben over de implementatie van de AVG-regels, u wilt een quick scan of u heeft tools nodig, neem gerust contact met ons op: 02/721 13 00 of andries@siriuslegal.be.