21 juni 2018 Bescherming van persoonsgegevens
Over de zogenaamde ‘GDPR’ of ‘AVG’ – dient het nog gezegd te worden: General Data Protection Regulation of Algemene Verordening Gegevensbescherming – is de laatste maanden veel inkt gevloeid. Sinds de inwerkingtreding ervan op 25 mei 2018 is de theorie (hopelijk) stilaan bekend. De praktijk daarentegen roept nog veel vragen op
Enkele veel voorkomende misverstanden
Stelling 1: ‘Ons bedrijf werkt enkel B2B en valt dus niet onder het GDPR-toepassingsgebied.’
Het is weliswaar correct dat de GDPR enkel gegevens van natuurlijke personen beschermt en dat de verwerking van gegevens van rechtspersonen in beginsel dus niet onder het toepassingsgebied valt. Maar zelfs wanneer u enkel in een B2B-context zou handelen en uw klanten en leveranciers allemaal rechtspersonen zouden zijn, zal u ongetwijfeld toch allerlei gegevens verwerken, die tot natuurlijke personen te herleiden zijn en bijgevolg toch GDPR-bescherming genieten. Denk maar aan de gegevens van zaakvoerders/bestuurders, eenmanszaken, zelfstandigen, belangrijke contactpersonen bij klanten en leveranciers (inkoopverantwoordelijke, technieker, interne boekhouder, enz.), die u met naam en toenaam – ofte: voornaam.naam@bedrijf.com, rechtstreeks telefoonnummer, gsmnummer, enz. – kent. En ook van uw werknemers verwerkt u uiteraard talrijke persoonsgegevens (privé e-mailadres voor verzending loonbrief, nummerplaat voor bedrijfsparking, rijksregisternummer voor Dimona-aangifte, bankrekeningnummer voor betaling loon, enz.).
Stelling 2: ‘Ons bedrijf kan in een bedrijfsfolder foto’s van werknemers publiceren mits hun toestemming.’
Om geldig te zijn, moet een toestemming volgens de GDPR geïnformeerd, vrij, specifiek én ondubbelzinnig verkregen zijn. De vereiste van een ‘vrije’ toestemming is evenwel problematisch gezien de gezagsverhouding tussen werkgever-werknemer. In die verhouding wordt ‘toestemming’ als rechtsgrond slechts aanvaard, wanneer de werknemer werkelijk vrij is om zijn toestemming al dan niet te geven én, eens gegeven, in te trekken zonder enig nadeel (maar met alle gevolgen van dien voor uw bedrijfsfolder…).
Stelling 3: ‘Een datalek overkomt ons niet.’
Een gegevenslek of datalek is ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. Deze definitie is dus bijzonder ruim. In tegenstelling tot wat u zou kunnen denken, gaat het niet enkel om cybercriminaliteit (phishing/hacking), maar worden datalekken vooral veroorzaakt door menselijke fouten of onvoorzichtigheid (verlies van een gsm, laptop, dossier, USB-stick, toegangsbadge, enz.). Preventief handelen en weten hoe reactief te handelen zijn dus een must.
GDPR-compliant op 25 mei 2018 – sit back and relax?
Vooreerst is het maar de vraag of we op dit ogenblik, waarop het hele GDPR-gebeuren nog een best effort is en geen exacte wetenschap, wel over sluitende GDPR-compliance kunnen spreken. Wel zeker is het feit dat GDPR ook na 25 mei 2018 uw aandacht zal blijven vragen, niet alleen omwille van toekomstige veranderingen binnen uw bedrijf (bv. opstart webshop, dataregister actualiseren na wijziging van sociaal secretariaat, enz.), maar ook omdat u uw bestaande GDPR-aanpak voortdurend zal moeten evalueren in het licht van evoluerende rechtspraak en standpunten van de zgn. ‘Gegevensbeschermingsautoriteiten’.
Het laatste woord over GDPR is dus nog niet gezegd. Het is wachten op de praktijk om de grijze zone zwart of wit te kleuren…
Heeft u nog vragen? Neem dan contact op met een van onze experten inzake GDPR:
