Wat is GDRP?

Internationaal, Juridisch advies
20 mei 2018 - Lisa Deschaeck

Wat is GDRP?

U wordt wellicht overstelpt met reclameberichten van allerhande consultants die u in steeds dringender taalgebruik waarschuwen voor de gevaren van de GDPR – richtlijn die op 25 mei 2018 van kracht worden. Wij van Alaska willen een en ander nuanceren en u op een heldere wijze uiteen zetten wat 25 mei 2018 voor uw onderneming zal betekenen.

  • Persoonsgegevens verwerken?

GDPR (dit staat voor General Data Protection Regulation of Algemene gegevensbeschermingsverordening) viseert de verwerking van persoonsgegevens. Het begrip ‘persoonsgegevens’ wordt zeer ruim opgevat: een naam, identificatienummer, locatiegegevens, een IP adres, elementen die kenmerkend zijn voor de identiteit van een persoon enz. Het begrip ‘verwerking’ wordt ook zeer ruim opgevat: verzamelen, vastleggen, ordenen, opslaan, bijwerken, opvragen, raadplegen, gebruiken, doorzenden… kortom alles wat u met persoonsgegevens doet. Indien u klantgegevens verwerkt, zijn de regels al van toepassing. Indien u een handeling stelt die binnen deze definities valt, dan moet u aan een aantal verplichtingen voldoen.

Ook als u geen gegevens van natuurlijke personen verwerkt (al uw klanten met vennoostchappen) maar u hebt personeel, dan moet u aan de verplichtingen van de GDPR – richtlijn voldoen.

  • Mentaliteitswijziging: aantonen dat u in orde bent

De GDPR – richtlijn zal een mentaliteitswijziging teweegbrengen bij elke verwerker van persoonsgegevens: waar voorheen de klager moest bewijzen dat de vermeende overtreder de privacywetgeving had overtreden zal de nieuwe gegevensbeschermingsautoriteit (ook zonder klacht) elke verwerker kunnen aanspreken die zal moeten bewijzen dat hij de regels naleeft. Men draait de bewijslast dus om en de gevolgen van non – compliance zullen niet min zijn: boetes tot 4% van uw wereldwijde jaarlijkse omzet.

De effectieve controle en oplegging van boetes zal gebeuren door de Privacycommissie die vervelt tot de nieuwe “gegevensbeschermingsautoriteit”

Wat moet u concreet doen?

  • Denkoefening maken

In eerste instantie zal u moeten nagaan welke documenten u reeds heeft, welke procedures er bij u bestaan en met wie u juist persoonsgegevens uitwisselt of op welke platforms deze bewaard worden.

  • privacyverklaring

De personen van wie u persoonsgegevens verwerkt (de ‘datasubjecten’) moeten (door middel van een privacyverklaring) op de hoogte worden gesteld dat hun gegevens verwerkt worden, wat hiervan de modaliteiten zijn, wat hun rechten zijn en waar men terecht kan met een klacht. Heeft u reeds een privacyverklaring dan zal deze moeten worden aangepast aan de nieuwe rechten die vanaf 25 mei 2018 van kracht zullen zijn.

  • verwerkingsregister

U zal uw procedures in kaart moeten brengen en uitwerken zodat u, indien u bezoek krijgt van de gegevensbeschermingsautoriteit, kan aantonen dat u volgens de regels werkt. Hierbij is een verwerkingsregister onontbeerlijk.

Het verwerkingsregister brengt in kaart welke gegevens verwerkt worden, hoe we deze verkregen hebben, hoe we deze bijhouden en met wie we ze delen. Er moet eveneens worden nagegaan bij elke soort van data onder welke wettelijke grondslag deze valt.

  • Procedures en protocollen

Daarnaast moeten er procedures zijn die elk aspect van de gegevensverwerking en de gegevensbescherming omvatten.

U dient na te gaan of de huidige procedures in uw bedrijf of organisatie alle rechten voorzien waarop de betrokkene zich kan beroepen, inclusief hoe persoonsgegevens kunnen worden verwijderd of hoe gegevens elektronisch zullen worden meegedeeld. De GDPR voorziet o.a. in de volgende rechten voor de betrokkene:

  • Informatie en toegang tot persoonsgegevens
  • Correctie en uitwissing van de gegevens
  • Bezwaar tegen direct marketingpraktijken
  • Bezwaar tegen geautomatiseerde besluitvorming en profilering
  • Overdraagbaarheid van de gegevens

Wat gegevensbescherming betreft zal de procedure zowel een preventie moeten bevatten als een omschrijving wat de procedure is bij een potentieel datalek (men zal in bepaalde gevallen binnen de 72 uur hiervan melding moeten maken).

  • Overeenkomsten met leveranciers en onderaannemers

U zal uw overeenkomsten en relaties met leveranciers en onderaannemers onder de loep moeten nemen. Het is immers zo dat u als verwerkingsverantwoordelijke een aansprakelijkheid zal hebben als er iets misloopt bij de ‘verwerkers’ (leveranciers van software of onderaannemers).

U kan hiertoe een bijkomende verwerkersovereenkomst sluiten met bestaande leveranciers. Bij nieuwe leveranciers zal u bijkomende aandacht moeten hebben voor de GDPR – problematiek.

Wat kan Alaska doen?

Alaska wil u bijstaan bij deze omwenteling en u op heldere wijze doorheen het nieuwe privacy-landschap gidsen.

Daartoe ontwikkelden wij enkele pakketten die u, vertrekkend van uw noden, moeten toestaan in orde te zijn met de vernieuwde GDPR-reglementering.

GDPR Standaardpakket

 Voor wie?

  • Voor eenmanszaken of kleine ondernemingen die slechts sporadisch of weinig persoonsgegevens verwerken
  • Wat houdt het in?
    • Persoonsgegevensregister
    • Model verwerkersovereenkomst
    • Privacyverklaring voor website
    • Cookieverklaring voor website
    • Stappenplan te volgen procedures bij datalek
    • Overzicht procedures en gedragscode inzake naleving rechten betrokkene

GDPR Full Option pakket

  • Voor wie?

Voor KMO’s en grotere ondernemingen of organisaties die regelmatig persoonsgegevens verwerken, bijvoorbeeld organisaties met veel personeel of klantenlijsten, houders van webshops, actief in direct marketing…)

  • Wat houdt het in?
    • Audit met rapport
    • Persoonsgegevensregister
    • Model verwerkersovereenkomst
    • Privacyverklaring voor website
    • Cookieverklaring voor website
    • Model van Privacy Impact Assessment
    • Aangepaste bijlage voor arbeidsovereenkomst en gedragscode voor verwerking persoonsgegevens personeel
    • Stappenplan te volgen procedures bij datalek
    • Overzicht procedures en gedragscode inzake naleving rechten betrokkene
    • Rapport van de ondernomen stappen (Accountablityverplichting)

Data Protection Officer (DPO)

 Als u een overheidsinstelling bent of op grote schaal persoonsgegevens verwerkt, dan bent u verplicht een DPO of Data Protection Officer aan te stellen.
Indien u niet onmiddellijk over een gecertificeerde DPO beschikt binnen uw organisatie, dan kan Alaska u ook een externe DPO aanleveren tegen een af te spreken tarief.

Alaska staat graag ten dienste van u bij de implementatie van deze ingrijpende nieuwe reglementering en als erkend dienstverlener kijken samen we met u of u beroep kunt doen op de KMO-portefeuille waardoor u tot 30% financiële ondersteuning krijgt. Contacteer ons via privacy@alaska-group.eu.

terug naar overzicht

Lisa Deschaeck

Senior Legal Advisor
+32 (0)56 222 602

Gerelateerde artikels

Internationaal, Juridisch advies
20 mei 2018 - Lisa Deschaeck

Wat is GDRP?

U wordt wellicht overstelpt met reclameberichten van allerhande consultants die u in steeds dringender taalgebruik waarschuwen voor de gevaren van de GDPR. Wij van Alaska willen een en ander nuanceren en u op een heldere wijze uiteen zetten wat 25 mei 2018 voor uw onderneming zal betekenen.

Lees meer
Accountancy, Audit, Fiscaal advies, Fusies en overnames, Internationaal, Juridisch advies, Toekomstplanning
1 februari 2016 - Stefan Ghijsen

Alaska - Uw gids op de ontdekkingstocht van het ondernemen

Alaska - Uw gids op de ontdekkingstocht van het ondernemen

Lees meer

Nieuwsbrief

Altijd up-to-date blijven met Alaska

Blijf op de hoogte van het laatste nieuws. Schrijf je meteen in voor de Alaska nieuwsbrief!