Global Data Protection Regulation (GDPR) - Algemene Verordening Gegevensbescherming (AVG)

Vakartikels

Veel ondernemingen (we rekenen in dit kader ook beoefenaars van vrije beroepen hieronder) denken nog altijd ruim de tijd te hebben om zich voor te bereiden op de nieuwe privacy regelgeving of denken zelfs dat deze regelgeving niet op hen van toepassing is. Niets is minder waar. 

In een handig overzicht geven we een antwoord op de vragen waar u misschien ook mee worstelt, maar nooit werk van gemaakt heeft.

Let op: deze nieuwsbrief zal u geen antwoord kunnen geven op alle vragen. De gewijzigde regelgeving is bovendien nieuw. Vele praktische vragen zijn zelfs door de grootste specialisten en de overheden die deze regelgeving moeten opvolgen, nog niet helemaal duidelijk beantwoord. Helemaal niets doen en wachten tot alle stof is gaan liggen is evenwel geen optie.

Hierna vindt u het antwoord waarom dit zo is.

Is dat geen Europese regelgeving, die nog niet in de Belgische wet is opgenomen en dus nog niet van toepassing bij ons?

Ja, het is Europese regelgeving. Maar neen, het is een Europese verordening, die rechtstreekse toepassing heeft in de landen. België moet dit dus niet in zijn eigen wetgeving opnemen.
Dus nogmaals ja, het is van toepassing op u.

Ben ik een uitzondering als ik toegeef hier nog niet mee bezig te zijn geweest?

Helemaal niet. Ongeveer 35% van de Belgische ondernemingen zegt al eerste stappen gezet te hebben, ongeveer 23% beweert (naar eigen inzicht) al in een vergevorderd stadium te zijn en slechts 5% meent nu al klaar te zijn voor D-Day (25 mei 2018).

Wil dat zeggen dat u nog tijd heeft? Eigenlijk niet. Gemiddeld gezien blijkt een KMO toch minstens 6 maanden nodig te hebben, mits stevig doorwerken, om zijn organisatie klaar te maken.
Vele KMO’s zullen waarschijnlijk langer nodig hebben, omdat ze geen specifieke “taskforce” hierop kunnen of willen inzetten en deze werkzaamheden bovenop de gewone taken komen.

Is deze nieuwe (verstrengde) regelgeving m.b.t. de privacy ook op mijn zaak van toepassing?

Met een quasi zekerheid kunnen we beweren dat ook u onder het toepassingsgebied valt. Heeft u personeel in dienst? Dan verwerkt u persoonsgegevens, anders zou u geen lonen kunnen uitbetalen, geen personeelsgegevens kunnen opvolgen,…

Houdt u gegevens van klanten/patiënten of van leveranciers bij? Heel waarschijnlijk zitten daar dan ook persoonsnamen, emailadressen, GSM-nummers,... bij en verwerkt u dus persoonsgegevens. Dus zelfs als u uitsluitend B2B werkt, zal u quasi-zeker persoonsgegevens verwerken.

Hebt u werknemers op de baan en zit er een track & trace in hun voertuig, waardoor u de routes kan optimaliseren, de personeelsadministratie efficiënter laat verlopen,… Ook dat zijn persoonsgegevens, want u kan hierdoor het individu (werknemer) in zijn verplaatsingen volgen.

Heeft u een relatie-gegevensbank? Ook daar zullen persoonsgegevens inzitten. En zelfs als u alles mooi op kartonnen fiches bijhoudt, zonder computer, geldt deze regelgeving voor u, want ze is niet beperkt tot geautomatiseerde verwerking.

Wat zijn persoonsgegevens eigenlijk?

Persoonsgegevens zijn alle gegevens die informatie verschaffen over een identificeerbaar individu. Uiteraard naam, adres, foto, telefoonnummer, loongegevens, maar ook IP-adres. 
Bepaalde gegevens worden beschouwd als gevoeliger dan andere (bv. medische gegevens) en daarop zal een strengere beoordeling toegepast worden dan voor andere gegevens.

Moet ik ook met anderen rekening houden of is het alleen mijn eigen organisatie waarmee ik rekening moet houden?

Ja, u moet ook rekening houden met uw leveranciers die uw data verwerken. Als u bepaalt hoe en waarom een verwerking gebeurt, bent u de verwerkingsverantwoordelijke.
Maar als u gegevens doorgeeft aan iemand anders die deze gegevens voor u verwerkt, moet u met deze derde een schriftelijke overeenkomst sluiten die bepaalt wat deze derde met uw gegeven mag doen. En u bent mee verantwoordelijk bij onzorgvuldig handelen door deze derde!

Denk hierbij aan uw sociaal secretariaat, het interimkantoor waarmee u werkt, een beveiligingsfirma die uw gebouw beveiligt of van afstand kan nagaan wie van uw medewerkers wanneer aankomt in het gebouw, een marketingbureau waaraan u gegevens ter beschikking stelt om een mailing voor te bereiden, beveiligingscamera’s,... 

Wat houdt deze GDPR nu eigenlijk in?

De GDPR is een bevestiging van bestaande privacy-regels, maar met verstrengde regels. Bijvoorbeeld in het kader van de veiligheid van persoonsgegevens en het geven van de controle over deze gegevens aan het individu waarop de gegevens betrekking hebben. En de mogelijkheid om zware sancties op te leggen is toegevoegd.

U moet nu kunnen aantonen (bewijzen):

  • waarom u welke persoonsgegevens wil/mag verwerken;
  • hoe lang u ze zal bijhouden;
  • welke veiligheidsmaatregelen u heeft getroffen;
  • welke procedures hebt u lopen om bv. datalekken te voorkomen en als ze er toch zijn deze te behandelen.

Dit is uiteraard een hele korte samenvatting. Alleen al over het “waarom” kan een nieuwsbrief worden geschreven. 

Het “kunnen aantonen” is letterlijk te nemen: alles moet gedocumenteerd worden. Wat niet in documenten staat, wordt geacht niet te bestaan.

Wat als ik niets doe?

Deze week nog hoorden we een reactie van een ondernemer: ik doe niets tot ik door de Gegevensbeschermingscommissie wordt aangesproken en zelfs dan betaal ik de boete wel. Dat verkleint mijn marges, maar ik kan dat aan. Ik heb gewoon geen zin om al deze organisatiewijzigingen en papierwinkel te doorlopen.

Dat is een mogelijkheid, maar mogen we u aanraden om toch maar even verder te denken? De potentiële sancties zijn niet min: boetes kunnen oplopen tot 4% van de wereldwijde omzet van de onderneming. En u moet de pakkans niet overschatten, maar zeker ook niet onderschatten.

De Privacy-commissie (de nieuwe naam wordt de Gegevensbeschermingsautoriteit) zal meer personeel krijgen. Klachten kunnen ook door de betrokken personen worden neergelegd en onderschat de impact van mogelijk imagoverlies via sociale media niet (ex-personeelsleden, een misnoegde klant, een leverancier, een concurrent?)

Kan ik gegevensverlies voorkomen of me laten verzekeren voor dit risico?

Tweemaal is het antwoord ja.

Gegevensverlies kan u voorkomen door een aantal interne maatregelen te treffen. U dient nu in ieder geval intern gegevens af te schermen voor “onbevoegden”. Uw interne politiek m.b.t. gebruik van laptops, GSM, USB en andere externe gegevensdragers zal zeker eens onder de loep moeten worden genomen. Heeft u al encryptie-software geïnstalleerd? Indien niet, is het nu zeker het moment om hieraan te denken. Is uw systeem voldoende beveiligd tegen externe “onbevoegden” (ook wel eens hackers genoemd)? Een grondige analyse hiervan is nu zeker aangewezen.

U kunt zich laten verzekeren tegen de gevolgen van gegevensverlies. Bekijk dit met uw verzekeraar of verzekeringstussenpersoon. Ook voor hen is dit onderwerp vandaag een veelbesproken onderwerp. Houd er wel rekening mee, dat ook zij aan u zullen vragen wat u doet om gegevensverlies te voorkomen.

Gaat mij dat veel tijd en geld kosten?

Zonder een investering in tijd en geld, zal u er niet van af komen. Tenzij u beslist om niets te doen en dan verwijzen we u terug naar een vorige vraag voor de mogelijke gevolgen.

U kan met een doordachte aanpak wel tijd en geld “besparen”. 

Dit proces zal een inbreng vragen vanuit uw interne organisatie, vanuit IT en vanuit juridische hoek. Het oprichten van een goed samengestelde “taskforce” die al deze aspecten efficiënt kan coördineren is een meer dan aan te bevelen eerste stap. De samenstelling zal meestal zowel een interne als een externe inbreng vergen. Voor de externe inbreng is het belangrijk te werken met (een) ervaren dienstverlener(s) die de lijnen strak kan houden en het proces op de juiste rails kan zetten.

Wordt de soep dan echt zo heet gegeten als zij wordt opgediend?

Het is weinig waarschijnlijk dat de Privacy-commissie zich agressief zal opstellen en actief gaat zoeken naar KMO’s die de regelgeving niet naleven.
Maar elke persoon die vindt dat zijn persoonsgegevens niet correct worden behandeld, kan klacht indienen bij de Privacy-commissie, die dit dan moet bekijken. Ook als er een gegevenslek is vastgesteld moet u dit melden aan de Privacy-commissie en dan is het risico reëel dat de commissie u vraagt uw GDPR-aanpak uit te leggen.

Hoe begin ik er nu aan?

In een notendop:

  1. Stel de taskforce samen (zie hoger)
  2. Visualiseer de actuele datastromen binnen uw organisatie (“data mapping”)
  3. Analyseer deze datastromen
  4. Realiseer op basis van deze analyse:
    1. Maak de nodige interne beleidsregels 
    2. Herwerk uw modeldocumenten 
    3. Pas de toegangsmogelijkheden tot uw data aan (een persoon moet nu een aanvaarde reden hebben om gegevens te kunnen/mogen zien)
    4. Bepaal de bewaartermijnen voor de verschillende gegevens
  5. Informeer uw medewerkers, geef hen opleiding over de nieuwe interne beleidsregels en de nieuwe organisatie op vlak van veiligheid van persoonsgegevens (het hoe en waarom!)
  6. Controleer de naleving ervan en documenteer dit (wat niet gedocumenteerd is, bestaat niet !) 
  7. En tenslotte: volg op en actualiseer waar nodig.

Kan Baker Tilly mij hierbij helpen?

Ja, dat kunnen we. In samenwerking met uw eigen mensen en bv. uw IT-leverancier kunnen we de analyse maken van wat er moet gebeuren en het traject uitwerken, hoe u het stappenplan dat we vermeld hebben, kan realiseren.

Deze bijstand kan gaan van een intake gesprek, naar een status evaluatie, trainingen voor medewerkers, juridische advies, data mapping, privacy management en assistentie bij de keuze van software. Uiteraard, indien u dit wenst, altijd in samenwerking met uw andere dienstenleveranciers.
In orde zijn met GDPR is een werk-woord. Samen-werken is een noodzaak.

Conclusie: 

Het is eigenlijk al 5 ná 12 – nog minder dan 100 dagen te gaan.
Dus ook als u zich niet wil profileren als de beste van de klas, zijn er twee belangrijke boodschappen:

  • Start vóór 25 mei 2018 met het documenteren van uw weg naar GDPR-regelnaleving
  • Verzeker u tegen GDPR-risico’s.

We verwijzen hier voor de volledigheid ook nog naar onze eerdere artikel in de nieuwsbrief van december 2017

Wenst u over dit alles meer te weten, neem dan contact op met uw dossierverantwoordelijke of rechtstreeks met onze GDPR-team-verantwoordelijken Anne Roucourt