Privacy & dataverwerking

The General Data Protection Regulation simply explained

Data Breache notification obligations, privacy shield, nGeneral Data Protection Regulation, Legal Cases against Facebook, … Companies are flooded nowadays with news about privacy and data protection and the number of questions that have come to us about privacy-related issues has been in constant rise since early 2016.

The European General Data Protection Regulation (GDPR) is in effect since  25 May 2018 and has substantially changed the way in which companies handle -or should handle- “personal data” or personal data.

This affects ALL companies, associations and government agencies. After all, everyone has a customer database, a marketing database or a mailing list for newsletters in which “personal data” is kept. In other words, not only web shops or online businesses must take the new rules into account, they are there for everyone …

shutterstock_131357474(1)


What is GDPR

What is GDPR?

The current Privacy Law dates from 1992 and is now 27 years old. The world, however, has changed since then and so has the internet, the way we deal with data and the entire economy and society in which we live.

There was little or no online marketing in 1992. Big data, profiling, social media, e-commerce, … are all concepts that have arisen in recent years and which the old privacy legislation could not or insufficiently take into account.

New legislation has therefore been urgently needed for several years and it is  logical that the European Union should create an appropriate legal framework in the form of the “General Data Protection Regulation”, precisely because of the changed economic and technical world in which we live today.

Objectives of GDPR?

The new General Data Protection Regulation is made to guarantee uniform protection of privacy rights in the current technological reality. The EU felt this was necessary because of the continuing globalization, the differences in protection between member states in Europe and because of the need for simplifying administrative obligations for companies.

When do the new rules apply?

The final text of the GDPR was approved within the EU on 8 April 2016.

The new rules have entered into force on May 25, 2018. From that date, every company or organisation should be “GDPR compliant”

To whom does the GDPR apply?

The simple answer: the GDPR applies to almost ALL companies, associations and government bodies in the EU.

The GDPR applies to anyone who processes personal data in an automated or structured way. Personal data is all data that allows to identify someone (eg a name, address, customer number, but also IP addresses, online markers, …).

The GDPR is not IT regulation

Many entrepreneurs have the wrong impression that the GDPR is an IT issue. Nothing is less true. GDPR compliance affects your entire company.

shutterstock_581985661


Wat betekent de GDPR voor jouw bedrijf

De GDPR breidt de verplichtingen voor bedrijven en de rechten voor datasubjecten aanzienlijk uit. We hebben de voornaamste nieuwigheden waar je rekening mee moet houden samengevat in 5 hoofdstukjes:

1. Onderga een Privacy Impact Assessment

De eerste en belangrijkste taak voor bedrijven is om een Privacy Impact Assessment uit te voeren binnen hun onderneming.

Een Privacy Impact Assessment is eigenlijk een risicoaudit binnen je bedrijf, waarbij in kaart gebracht wordt welke data je gebruikt, waar die zich bevinden binnen de organisatie, wie er toegang toe heeft en waar zich potentiële risico’s op verlies of diefstal bevinden.

Op basis van deze Privacy Impact Assessment zal je je organisatie moeten bijsturen op organisatorisch, technisch en/of juridisch vlak.

2. Zorg voor geschreven contracten met al je leveranciers (en/of klanten)

De GDPR heeft in de toekomst ook een impact op de diensten en tools die je bedrijf gebruikt.  Zowel contractpartners als software tools of online services waarmee je werkt moeten in de toekomst GDPR compliant zijn en moeten dit in een schriftelijk contract garanderen  Dat geldt overigens ook voor allerlei cloud oplossingen.

Controleer dus al je lopende overeenkomsten, zorg voor contracten waar die nog niet bestaan en zorg voor de nodige aanpassingen in de reeds bestaande contracten.

3. Meldplicht datalekken

De GDPR voorziet in een verplichte meldplicht voor datalekken.  Een datalek is overigens niet enkel een hacking van je database.  Elk incident dat impact kan hebben op de veiligheid van uw data, zoals diefstal van een laptop of verlies van een USB stick moeten potentieel gemeld worden aan de overheid (of zelfs aan de betrokken personen rechtstreeks in sommige gevallen!) binnen 72 uur.  Wie laattijdig lekken meldt, kan aansprakelijk zijn voor de opgelopen schade.

Je moet dus gepaste procedures invoeren binnen je bedrijf om datalekken zo snel mogelijk op te sporen en te melden.

4. Verstrengde regels rond het verzamelen van data

Je moet rekening houden met een hele reeks nieuwe regels rond de wijze waarop je data verzamelt en verwerkt.  Die nieuwe regels gaan over de wijze waarop je toestemming bekomt van de betrokkene, de wijze waarop je omgaat met minderjarigen, het opbouwen van profielen (voor marketing of andere doeleinden), de rechten van betrokken om zich te verzetten tegen verwerking van hun gegevens of om toegang te krijgen tot hun gegevens, dataportabiliteit, …

Bovendien worden een hele reeks principes ingevoerd die de wijze waarop persoonsgegevens gebruikt worden beperken.  Zo moet elk gebruik beperkt zijn in de tijd, mogen data alleen gebruikt worden voor die specifieke doeleinden die bij het verzamelen van gegevens aan de gebruiker meegedeeld werden, mag alleen die info verzameld worden die strikt noodzakelijk is.

Dit alles wordt aangevuld met algemene principes zoals privacy by design en privacy by default, die vereisen dat elke website, elke app, elk stuk software dat geschreven wordt, steeds uitgaat van de maximale bescherming van de personen wiens gegevens ermee verwerkt zullen worden.

Dit betekent dat een grondig onderzoek van je database(s) zich opdringt om ervoor te zorgen dat een en ander compliant is aan de nieuwe regels.

5. Data Protection Officer

De Data Protection Officer is een persoon die binnen de onderneming verantwoordelijk is voor het toezien op de naleving van privacywetgeving.  Hij zal advies geven over nieuwe software, gebruik van database, etc… Hij zal ook de contactpersoon zijn met de overheid bij bvb datalekken.

Niet elk bedrijf is verplicht om een DPO aan te stellen. Je hebt een DPO nodig in volgende gevallen:

  • Je bedrijf of organisatie is een overheidsinstantie?
  • Je hoofdactiviteit is  de verwerking van persoonsgegevens of je verwerkt persoonsgegevens op grote schaal?
  • Je verwerkt bijzondere categorieën van gevoelige gegevens zoals ras, politieke voorkeur, religie of  medische gegevens?

In veel gevallen is het nuttig voor (grotere) bedrijven die buiten deze categorieën vallen om toch een DPO aan te stellen.  De DPO kan overigens een externe dienstverlener zijn en in de meeste gevallen is het zelfs aangeraden om hiervoor iemand extern in te schakelen om redenen van onafhankelijkheid van de persoon in kwestie, maar ook om aansprakelijkheidsredenen.

shutterstock_556962994


How to prepare your company for the GDPR

You have by now understood that the GDPR has a major impact on the operations of your company.

First and foremost, a Privacy Impact Assessment must be carried out, together with an action plan to eliminate the pain points from this PIA.

Based on the results of that PIA, adjustments are required in current contracts, privacy policies, employment contracts, internal company policies, insurance policies, …

Based on the same Privacy Impact Assessment, structural adjustments may be needed within your teams (restricting access to data, introducing security procedures, policies for using your own devices, …).

In addition, many IT adjustments may be required.

An adjusted data breach procedure must be inserted.

Your company will have to keep a journal of data processing activities.

Sirius Legal naturally assists its clients in this. Together with some experienced IT partners and BA partners, we offer tailor-made compliance processes for small, medium-sized and large companies.


Onze diensten

Compliance audit pakketten

Alle ondernemingen zijn verschillend.  Daarom hebben we bij Sirius Legal compliancediensten op maat van jouw bedrijf, gaande van een eenvoudige zelf te gebruiken toolbox voor kleine ondernemers tot een uitgebreide in house audit voor grote organisaties.

 

Opleiding en training

Een compliance traject heeft pas echt kans op succes als alle stakeholders binnen het bedrijf hun volle medewerking verlenen.  Om dat te bereiken moet iedereen binnen het bedrijf op de hoogte zijn van de oefening die voor de deur staat.  Om daarvoor te zorgen voorzien we bij heel wat van onze cliënten in house trainingen op maat van hun noden:

 

Data Protection Officer diensten

Sirius Legal zorgt ook voor DPO diensten voor kleine en middelgrote ondernemingen.

We bieden u professionele bijstand op maat door ervaren en geschoolde advocaten met ervaring in IT en databescherming.

We bekijken graag op individuele basis welke de noden van jouw bedrijf zijn en werken op basis daarvan een aanbod op maat uit.  Onze DPO diensten worden aangeboden in de vorm van samenwerkingen op langere termijn op basis van een beschikbaarheid van een aantal uren per week/maand binnen uw onderneming of op afstand, afhankelijk van uw noden.

 


Contact

Our team of lawyers is happy to answer all your questions about GDPR and privacy.
Use the contact form below or call us on +32 2 721 13 00