3 jaar GDPR: uit het oog maar niet uit het hart? (Dehaese & Dehaese)

Auteur: Dehaese & Dehaese

Uit een recente bevraging bleek dat een groot deel van de bedrijven zichzelf onvoldoende of zelfs helemaal niet in orde acht met de regels uit de General Data Protection Regulation (GDPR) ofwel de Algemene Verordening Gegevensbescherming (AVG). Ten tijde van de inwerkingtreding op 25 mei 2018 veroorzaakte deze strengere regelgeving inzake de verwerkingen van persoonsgegevens nochtans heel wat onrust. Drie jaar later lijkt de storm te zijn gaan liggen of is nu de stilte voor de tweede storm. Als ondernemer verliest u de GDPR en de bijhorende verplichtingen maar beter niet uit het oog. De sanctie bij niet naleving (tot 4% van uw wereldwijde jaaromzet) is immers niet te onderschatten. In deze bijdrage bieden wij u een opfrissing van de belangrijkste principes van de GDPR.

1. Legitimiteit

Het eerste basisprincipe is dat persoonsgegevens enkel mogen worden verwerkt voor zover er een wettelijke basis is om deze verwerking te rechtvaardigen. Dit kan bijvoorbeeld de toestemming zijn van de betrokkene, de uitvoering van een contract of het gerechtvaardigd belang van de verwerker.

2. Proportionaliteit

Tweede hoeksteen van de GDPR is proportionaliteit: persoonsgegevens mogen enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Bovendien mogen enkel die persoonsgegevens worden verzameld die noodzakelijk zijn voor de doeleinden waarvoor zij worden verwerkt. Tot slot mogen de persoonsgegevens niet langer worden bijgehouden dan nodig om deze doeleinden te bereiken.

3. Transparantie en juistheid

De betrokkene dient te worden geïnformeerd omtrent de verwerking van diens persoonsgegevens en omtrent diens rechten met betrekking tot zijn persoonsgegevens en de verwerking ervan. Bovendien moeten alle redelijke maatregelen worden genomen om de persoonsgegevens die onjuist zijn te wissen of te rectificeren.

4. Beveiliging en vertrouwelijkheid

Men moet gepaste organisatorische en technologische maatregelen nemen om de veiligheid van de verwerkte persoonsgegevens te garanderen. De bedoeling van deze verplichting is om de verzamelde persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

5. Sancties

Het is niet altijd eenvoudig om te weten op welke manier men moet voldoen aan de vaak vaag omschreven verplichtingen. De GDPR negeren is echter in geen geval de oplossing. De Gegevensbeschermingsautoriteit, die toezicht houdt op de naleving van de GDPR, zit immers niet stil: naast het uitdelen van waarschuwingen worden er immers effectief administratieve boetes uitgedeeld. Belangrijk om weten is dat deze boetes kunnen oplopen tot maar liefst 20 miljoen euro of tot 4 % van de totale wereldwijde jaaromzet van de inbreukmakende onderneming.

6. Besluit

Een eerste belangrijke stap in het naleven van de GDPR is bewustwording: men moet de eigen verwerkingen van persoonsgegevens in kaart brengen en analyseren. Op basis hiervan kunnen vervolgens de nodige maatregelen worden getroffen. Dit is overigens geen statisch gegeven. Het GDPR-beleid dient immers mee te evolueren met de veranderingen die uw onderneming ondergaat.

Bron: Dehaese & Dehaese