Is uw onderneming GDPR compliant?

Op 25 mei 2018 kwam de nieuwe GDPR wetgeving in voege.  Maar laten we de wettelijke saaie GDPR teksten achterwege laten en meteen ter zake komen. In tegenstelling tot wat de meesten denken, ben je er niet vanaf met een privacyverklaring en melding van cookies op je website. Het gaat veel verder. Zorg dat de sleutelfiguren of beleidsmakers in uw onderneming op de hoogte zijn van deze nieuw regelgeving.

Als ondernemer verwerk je immers diverse persoonsgegevens van je personeel, sollicitanten, klanten, leveranciers, onderaannemers, e-mails enz.. Hoe gaan we daar correct mee om?

Verwerkingsregister conform de GDPR

Ben je verplicht om een verwerkingsregister bij te houden? Want wie snel de wetgeving doorneemt leest dat een verwerkingsregister verplicht is voor onderneming met meer dan 250 werknemers. Je zou dus snel kunnen beslissen van niet. Maar niets is minder waar.

Je bent verplicht een verwerkingsregister bij te houden wanneer aan één van onderstaande voorwaarden is voldaan. Dit ongeacht de omvang van je onderneming.

  • Je meer dan 250 personen in dienst hebt.
  • De verwerking  die je verricht is niet incidenteel.
  • Verwerkingen die betrekking hebben op klantenbeheer, personeelsbeheer, of leveranciersbeheer;
  • Als de verwerking een risico vormt voor de rechten en vrijheden van de betrokkenen;
  • Wanneer je bijzondere categorieën van gegevens verwerkt. Dit wil zeggen persoonsgegevens  betreffende raciale of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijkt, of genetische, biometrische gegevens of gegevens over de gezondheid, iemands seksueel gedrag of seksuele gerichtheid;
  • Wanneer de verwerking gerechtelijke gegevens bevat. Dit wil zeggen persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

En dat kan je maar beter doen. Want de boetes kunnen immers oplopen tot 20.000.000€ of 4% van de omzet.

Wie moet dit niet doen? Eenmanszaken zonder personeel, zonder klanten en leveranciers…

Wanneer moet men een DPO (Data Protection Officer) aanstellen in een onderneming.

Het is van belang dat, hetzij iemand in de organisatie, hetzij een externe adviseur, verantwoordelijkheid neemt voor het naleven van de GDPR wetgeving. En dat iemand de kennis, medewerking en bevoegdheid heeft om dit te doen. Daarom moet je nu reeds beoordelen of op jouw bedrijf of organisatie de plicht rust om een dergelijke functionaris aan te stellen.

Volgens de nieuwe GDPR wetgeving moet er een DPO aangesteld worden indien uw onderneming meer dan 250 werknemers tewerkstelt. Of;

  • Wanneer een verwerkingsverantwoordelijke op regelmatige en stelselmatige observatie uitvoert;
  • De verwerkingsverantwoordelijke hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens zoals strafrechtelijke veroordelingen en strafbare feiten;
  • De verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve bij gerechten in de uitoefening van hun rechterlijke taken.

Wie kan een DPO zijn?

Wie kan het niet zijn is een betere vraag. Niemand van het C-Level. Dus geen CEO, CFO, COO enz..
Dus geen zaakvoerders, vennoten, leden van de RvB enz, dit om belangenvermenging te vermijden.

De DPO moet aangemeld worden aan de privacy commissie en beschikt best over de nodige kennis, zowel betreffende de onderneming waar hij voor aangesteld is als over de GDPR wetgeving. Dit kan zowel een persoon zijn die intern als extern (externe DPO) aangesteld is.

Oja, leuk weetje. De boete voor het niet aanstellen van een DPO is 10.000.000€ of 2% van de omzet.

Direct mailing & GDPR.

Mag ik nog direct mailing versturen? Ja en nee, dat hangt af van de situatie. Is het een klant of niet, welke gegevens verzamel je of heb je in het verleden verzamelt enzovoort. We gaan hier later verder op in, maar je kan me gerust contacteren voor een op maat gemaakt advies.

Camerabewaking geïntegreerd in GDPR wetgeving.

De wet van 21 maart 2007 betreffende de camerabewaking is opgenomen in GDPR wetgeving. Op die manier valt alles netjes onder de privacywetgeving. Maar wat is er nu precies verandert?

  • Eerst en vooral als je aan camerabewaking doet, moet je dit melden aan de politie, en niet meer aan de privacycommissie.
  • De wettelijke grondslag dient op het bekende pictogram vermeldt te worden.
  • De naam van de natuurlijke persoon of rechtspersoon die verantwoordelijk zijn voor de verwerking dient vermeldt te worden.
  • Het postadres en, in voorkomend geval, het e-mailadres of het telefoonnummer, waarop de verantwoordelijke kan bereikt worden.
  • In voorkomend geval, de gegevens van de functionaris voor gegevensbescherming (DPO) (nieuw sinds het KB van 28/5/18.
  • Deze dataflow dient vermeldt te worden in het verwerkingsregister.
  • In voorkomend geval, de website van de verantwoordelijke voor de verwerking waar de betrokken personen, alle informatie over de beeldverwerking door middel van deze bewakingscamera’s kunnen raadplegen. (nieuw sinds het KB van 28/5/2018)

Voorstel tot samenwerking

Begrijp je er niks meer van? Als Data Protection Officer kan ik u hierin bijstaan. Ik kan voor uw onderneming alle nodige documenten, het privacy beleid, privacy verklaringen, het opstellen en het verzorgen van het verwerkingsregister en of beheren.

Maw, heeft u een externe DPO nodig dan bent u aan het goede adres. Of wil je wat eerstelijnsadvies? Dat kan ook.

Lijst van eventuele modellen

  1. Draaiboek GDPR – Checklist afgestemd op uw onderneming;
  2. Opmaak verwerkingsregister;
  3. Privacy beleid;
  4. Privacyverklaring bij verzameling, volledige kennisgeving;
  5. Privacyverklaring bij verzameling van gegevens betreffende personeel of sollicitanten;
  6. Kennisgeving bij cameraopnamen;
  7. Kennisgeving bij camerabewaking, wet 21 maart 2007;
  8. Verkrijgen van toestemming voorafgaand aan het versturen van publiciteit via email;
  9. De uitoefening van het recht van toegang;
  10. Uitoefening recht op verbetering;
  11. Uitoefening recht op wissing;
  12. Antwoord op recht wissing;
  13. Uitoefening recht op overdraagbaarheid van de gegevens (personeel & boekhouding)
  14. Eventueel service contract periodiek toezicht op de naleving van de GDPR wetgeving;
  15. Service contract als externe DPO.

Verdere specifieke modellen kunnen uiteraard ook opgemaakt worden.

Meer info over GDPR?

Aarzel dan niet om contact te nemen, er is geen gedoogbeleid. Wie niet in orde is riskeert een sanctie.
Dit heeft vooral als bedoeling om bij grote bedrijven toch het motief weg te nemen om inbreuken te plegen en met plezier de boete te betalen, zolang ze maar meer omzet draaien of de verliezen beperken.

GDPR