Drie jaar GDPR: tijd voor een opfrisbeurt (Crivits & Persyn)

Auteur: Yves Vandendriessche (Crivits & Persyn)

Publicatiedatum: 25/05/2021

Drie jaar geleden, op 25 mei 2018, trad de General Data Protection Regulation (GDPR) in voege.

Afgaand op de cijfers die UNIZO verspreidde naar aanleiding van die verjaardag is het ondernemingsleven al verregaand gesensibiliseerd. De aangescherpte privacyreglementering veroorzaakte een schokgolf, die niet enkel België maar heel Europa trof. Bedrijven werkten massaal privacystatements uit, optimaliseerden hun databeheer (met focus op datalekken), brachten relevante (gevoelige) data in kaart …

Hoewel er nog steeds heel wat werk aan de winkel blijkt te zijn, is die storm gaandeweg wat gaan liggen. De relatief weinige klachten, datalekken en problemen zouden volgens de UNIZO-studie hebben gezorgd voor een afname van de motivatie bij de belanghebbende verwerkers. Terwijl de coulance die de Gegevensbeschermingsautoriteit initieel nog aan de dag legde bij het beboeten van inbreuken nochtans inmiddels volledig is weggeëbd. Meer dan tijd dus om bij deze verjaardag stil te staan en een aantal zaken op te frissen.

Met persoonsgegevens blijft het oppassen

Als het op privacy aankomt, heiligt het doel de middelen niet. Persoonsgegevens verwerken (en dat gaat zeer ruim, van adresgegevens tot bijvoorbeeld kledingmaten) mag slechts in welbepaalde gevallen. In het bijzonder:

  • als een wettelijke verplichting dat vereist (zoals het opstellen van fiscale fiches, toepassen van antiwitwaswetgeving);
  • als de uitvoering van een contract het oplegt (bv. voor de betaling van een loon);
  • als er een gerechtvaardigd belang speelt (zoals het doorgeven van data om schulden in te vorderen);
  • en/of als de betrokkene zijn toestemming geeft. Die toestemming is evenwel een dubbeltje op zijn kant, nu deze te allen tijde kan worden ingetrokken.

Hoe en hoelang data verwerkt worden, is evenmin vrij te bepalen. Enkel pertinente en noodzakelijke gegevens mogen bijgehouden worden, en bovendien niet langer dan nodig. Wat dat laatste betreft, kunnen wettelijke bewaartermijnen gelukkig nog een aanknopingspunt vormen.

In het verlengde daarvan beschikken de betrokkenen ook over een aantal rechten met betrekking tot hun data. Zo kunnen zij onder meer verzoeken om inzage en een kopie, aansturen op correcties, aandringen op schrapping (voor zover er geen reden tot verwerking meer is) en verzoeken om overdracht van data (bijvoorbeeld naar een opvolgende leverancier).

Compliance

De GDPR legt een aantal vereisten op waaraan degenen die in aanraking komen met persoonsgegevens dienen te voldoen:

  1. Er moet transparantie zijn over de rechten van de betrokkenen en over de manier, de reden en de duur waarvoor persoonlijke data worden verwerkt of bewaard.
  2. U dient een register aan te leggenmet daarin het detail van alle verwerkingsactiviteiten. Dit register moet u intern bijhouden en gaandeweg actualiseren.
  3. Er moet in sommige gevallen een Data Protection Officer worden aangesteld, die technisch en juridisch het overzicht bewaart, klachten begeleidt en als eerste aanspreekpunt geldt. De aanstelling van een DPO is bijvoorbeeld verplicht bij grootschalige verwerkingen van data en voor overheidsinstanties. Zelfs al is er geen wettelijke verplichting, is het in veel gevallen, toch aangeraden een privacy verantwoordelijke aan te duiden.
  4. U moet passende technische en organisatorische beveilingsmaatregelen inlassen, met de bedoeling het risico op datalekken of andere inbreuken zoveel mogelijk te ondervangen (denk maar aan het versleutelen van netwerken, een wijzigingsbeleid van wachtwoorden …). In sommige gevallen moet deze databeveiliging gepaard gaan met een meer doorgedreven risicoanalyse (een zogenaamd Data Protection Impact Assessment). Ook dit geldt als er bijvoorbeeld sprake is van grootschalige verwerkingen, gevoelige data (al dan niet over kwetsbare betrokkenen)…
  5. U moet diligent zijn met leveranciers en andere partners (zoals sociale secretariaten, bewakingsfirma’s, IT-partners …): zodra datastromen aan de orde zijn, hoort u na te gaan of de leverancier/partner in kwestie GDPR-compliant is. Ook moet u met die partij een verwerkersovereenkomst sluiten waarin naleving van de GDPR wordt vooropgesteld.
  6. Inbreuken moet u opvolgen: u moet datalekken loggen (bv. foutief verstuurde e-mails) en in geval van risico voor de betrokkene melden aan de Gegevensbeschermingsautoriteit (soms ook aan de betrokkene zelf). Dat moet in principe binnen de 72 uren na kennisname van het lek gebeuren.
Toegepast

Het is geen sinecure om te voldoen aan de bijwijlen abstracte GDPR. Er rijzen nog steeds heel wat interpretatieproblemen, terwijl inbreuken soms sneller dan verwacht om de hoek loeren. De afdwinging van de GDPR dreigt echter steeds concreter te worden. Daarvan getuigen de diverse waarschuwingen, berispingen, bevelen en (soms zeer aanzienlijke) boetes die de Geschillenkamer van de Gegevensbeschermingsautoriteit uitspreekt, vooral sedert 2020. Waar volgens hun website voor 2019 nog 35 dossiers werden behandeld, waren dat er in 2020 al 90, en voor 2021 zit men nu al aan 70 dossiers.

Om een concreet databeschermingsbeleid uit te werken is het van belang in eerste instantie te analyseren en te reflecteren. Het is daarbij cruciaal de (mogelijke) datastromen in kaart te brengen, na te gaan hoe, waarom en hoelang (welke) data aangehouden worden (zowel fysiek als digitaal) en de veiligheid van uw digitale en fysieke ‘huis’ (inclusief partners) te screenen.

In een tweede fase is het zaak te documenteren en te optimaliseren, rekening houdend met de hierboven genoemde vereisten en basisprincipes.

Gezonde drijfveren bij dit alles zijn maximale transparantie, respect voor de rechten van de betrokkenen en oog voor interne implementatie van het beleid in de bedrijfscultuur, om de naleving ervan zoveel mogelijk te verzekeren.

Achtergrondinfo

Lees hier het originele artikel