Privacy, gegevensbescherming
& arbeidsrecht:
een actueel overzicht
Mr. Isabel Plets (Lydian)
Webinar op donderdag 8 mei 2025
Artificiële intelligentie in het HR-proces:
juridische aandachtspunten
Mr. Inger Verhelst en mr. Matthias Vandamme
(Claeys & Engels)
Webinar op vrijdag 7 februari 2025
Wenst u meerdere opleidingen
te volgen bij LegalLearning?
Overweeg dan zeker ons jaarabonnement
Krijg toegang tot +150 opleidingen
Live & on demand webinars
Voor uzelf en/of uw medewerkers
GDPR 101: Sluit het jaar af met een privacy-opfrissing! (Forum Advocaten)
Auteurs: Frederic Rosiers, Maxime Jeanray en Roxanne Verelst (Forum Advocaten)
De term ‘GDPR’ is al jaren niet meer weg te denken uit ons digitaliserend dagelijks leven. Wat houden deze regels nu ook alweer in en hoe zorgt u ervoor dat uw onderneming up-to-date blijft op dit vlak? Lees verder in deze blog!
GDPR: een stukje geschiedenis
De Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de General Data Protection Regulation (GDPR), is een Europese verordening die reeds sinds 25 mei 2018 van toepassing is in alle lidstaten van de Europese Unie, waaronder dus ook België.
De verordening vervangt de voormalige Europese Richtlijn ‘Data Protection Directive 95/46/EC’, die in 1995 werd geïntroduceerd. De Europese Commissie begon in 2012 al met het hervormen van de bestaande verordening om beter aan te sluiten bij de huidige digitale realiteit en de groeiende zorgen omtrent (digitale) privacy. Zo werd een jaar of 6 later de AVG of GDPR geboren, met het oog op het versterken van de rechten inzake privacy van individuen en om het geheel te kunnen harmoniseren binnen de EU.
Om te voldoen aan de nieuwe Europese regels, werd in België de “Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” ingevoerd als kaderwet om de GDPR te implementeren en aanvullende nationale bepalingen toe te voegen.
Wat zijn persoonsgegevens?
De bescherming van ‘persoonsgegevens’ is kern van de GDPR, maar wat dienen we nu precies te begrijpen onder deze term?
Dit betreffen gegevens waarmee men op directe of indirecte wijze een (levende) natuurlijke persoon kan identificeren. Voorbeelden hiervan zijn: naam, e-mailadres, IP-adres, locatiegegevens, bankrekeningnummer,…
Er bestaan ook heel wat bijzondere of gevoelige persoonsgegevens die extra worden beschermd door de GDPR. Verwerking van deze gegevens is in beginsel verboden, op enkele uitzonderingen na.
Denk maar aan gezondheidsgegevens zoals een medisch dossier of vaccinatiestatus, genetische gegevens zoals een DNA-profiel, maar ook het lidmaatschap van een vakbond of politieke partij behoren tot de gevoelige persoonsgegevens.
In principe zijn de gegevens van een onderneming (rechtspersoon) geen persoonsgegevens en mag u deze als onderneming verzamelen en verstrekken. Zo zijn algemene e-mailadressen zoals ‘info@bedrijfsnaam’ of ondernemingsnummers geen persoonsgegevens die worden beschermd.
Indien een e-mailadres de naam van een medewerker van het bedrijf in kwestie bevat, wordt dit echter wél een gegeven waarmee een natuurlijke persoon kan worden geïdentificeerd en dient voorzichtigheid aan de dag te worden gelegd met betrekking tot het verwerken ervan.
Bijzondere of gevoelige persoonsgegevens vragen om strengere beveiligingsmaatregelen en kunnen alleen verwerkt worden onder specifieke voorwaarden. Gewone persoonsgegevens dienen uiteraard ook zorgvuldig worden behandeld, maar de regels zijn hier iets minder streng.
Wat is verwerken?
De term ‘verwerken’ klinkt eerder abstract, maar omvat veel meer dan men op het eerste gezicht zou vermoeden. Het verwerken van gegevens omvat onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden of op andere wijze ter beschikking stellen, wissen of vernietigen ervan.
Wanneer uw onderneming namen, e-mailadressen, GSM-nummers en dergelijke van klanten en/of connecties gebruikt om hen informatie over uw bedrijf te bezorgen, of wanneer u deze gegevens doorzet naar anderen, dient u zich ervan bewust te zijn dat u persoonsgegevens aan het verwerken bent en dat er voorwaarden gesteld worden aan de mogelijkheid hiertoe.
Indien u op onrechtmatige wijze aan de verwerking van (gevoelige) persoonsgegevens doet, kunnen hier verstrekkende gevolgen aan worden gekoppeld door bijvoorbeeld de Gegevensbeschermingsautoriteit.
Sancties: de Gegevensbeschermingsautoriteit
De Gegevensbeschermingsautoriteit (GBA), voorheen bekend als de Privacycommissie, is de toezichthouder in België die verantwoordelijk is voor het handhaven van de AVG of GDPR.
De GBA kreeg met de invoering van de GDPR meer bevoegdheden, waaronder de mogelijkheid om administratieve boetes op te leggen aan organisaties die inbreuken maken op de wetgeving. Hierdoor is de bewustwording rond privacy en persoonsgegevens binnen de meeste bedrijven wel positief gestegen. De GBA is immers een zeer laagdrempelig orgaan. Individuen wiens persoonsgegevens onrechtmatig worden verwerkt kunnen op eenvoudige wijze klacht indienen bij de GBA. De mogelijke sancties zijn niet min; zo kreeg een onderneming enkele jaren geleden nog een geldboete opgelegd van maar liefst 15.000 euro omdat zij de e-mailadressen van een ex-werknemer 3 jaar na diens ontslag nog niet had afgesloten en dus nog steeds toegang had tot persoonlijke informatie die via die weg binnenkwam.
De boodschap is dus: ‘better be safe than sorry’!
Organiseer uw onderneming!
GDPR-compliance vereist een proactieve en gestructureerde aanpak die door uw ganse onderneming wordt gedragen. Aangezien er veel meer bij komt kijken dan u zou denken, is het aangewezen om u door experts ter zake te laten adviseren en de volgende aandachtspunten alvast mee te nemen:
- Inventariseer gegevensverwerkingen en documenteer deze in een verwerkingsregister.
- Bepaal de rechtsgrond voor elke verwerking van persoonsgegevens.
- Waarborg de rechten van betrokkenen en informeer hen erover.
- Integreer privacy in uw bedrijfsprocessen.
- Voer een risicoanalyse uit bij gevoelige of risicovolle verwerkingen.
- Stel een Data Protection Officer (DPO) aan als uw bedrijf zulks vereist.
- Beveilig persoonsgegevens met passende maatregelen tegen datalekken.
- Train uw werknemers in privacy en gegevensbescherming.
- Evalueer het bovenstaande regelmatig en voer audits uit.
Bron: Forum Advocaten
» Bekijk alle artikels: Privacy & Gegevensbescherming