News & events

01/12/2017

GDPR: What's in a name?

Vanaf 25 mei 2018 worden er nieuwe privacyregels van kracht, dewelke een grote impact zullen hebben op bijna alle ondernemingen, ook op die van U!

 

Elke onderneming die persoonsgegevens van EU-burgers verzamelt of verwerkt, zal vanaf die datum haar bedrijfsvoering moeten afstemmen op deze nieuwe privacyregels.

 

De nieuwe regels leggen een grote verantwoordelijkheid op de ondernemingen: elke onderneming wordt zelf verantwoordelijk voor de naleving van de nieuwe privacyregels en zal dat ook ten allen tijde moeten kunnen aantonen. Bij niet-naleving riskeert U een boete die kan oplopen tot 4% van Uw jaarlijkse omzet!

 

In deze nieuwsbrief wordt de nieuwe regelgeving in een notendop uitgelegd.

 

 

1. Toepassingsgebied

 

Iedere natuurlijke persoon of rechtspersoon dient de wettelijke verplichtingen en principes van de GDPR na te leven indien zij aan persoonsverwerking doet.

 

De nieuwe regelgeving is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

 

Het kernbegrip hierbij is ‘verwerking’:

 

“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”

 

Als onderneming bent U zich vaak niet bewust van het feit dat er dagelijks persoonsgegevens worden verwerkt: de werknemersadministratie, het versturen van nieuwsbrieven, het bijhouden van een klantenbestand, …

 

 

2. Algemene beginselen

 

            A. Rechtmatig, behoorlijk en transparant

 

De persoonsgegevens moeten verwerkt worden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

 

De verwerking is enkel rechtmatig indien ze aan ten minste één van onderstaande voorwaarden voldoet:

 

  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn gegevens voor één of meer specifieke doeleinden;
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene binnen de precontractuele fase maatregelen te nemen;
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de onderneming rust;
  • De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere persoon te beschermen;
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de onderneming is opgedragen;
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;

 

De toestemming moet gebeuren door middel van een verklaring of een ‘ondubbelzinnige actieve handeling’, dit is bijvoorbeeld een vakje aanduiden, handtekenen, etc.

Indien de verwerking berust op toestemming, moet de ‘verwerkingsverantwoordelijke’ kunnen aantonen dat de betrokkene toestemming heeft gegeven.

 

 

B. Rechten van de betrokkene

 

(i) Transparantie

 

De betrokkene moet op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm de nodige informatie kunnen ontvangen omtrent de gegevensverwerking.

 

Het moet met andere woorden voor individuen duidelijk zijn dat hun gegevens ingezameld, gebruikt, geraadpleegd of anders verwerkt worden.

 

(ii) Informatie en toegang tot de persoonsgegevens

 

Wanneer de persoonsgegevens bij de betrokkene zelf (of een derde) worden verzameld, dient de betrokkene geïnformeerd te worden van een aantal zaken zoals de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, het doel waarvoor de gegevens opgevraagd worden, etc.

 

 

(iii) Recht op inzage

 

De betrokkene heeft tevens het recht om duidelijkheid te verkrijgen over het al dan niet verwerken van zijn persoonsgegevens en wanneer dit het geval is, om inzage te verkrijgen van die persoonsgegevens en een aantal andere zaken.

 

 

(iv) Rectificatie en wissing van gegevens

 

De gegevens moeten juist zijn en indien nodig worden bijgewerkt. De betrokkene heeft het recht om onmiddellijk rechtzetting of vervollediging van onvolledige of onjuiste persoonsgegevens te vragen.

 

Daarnaast kan steeds om de gegevenswissing gevraagd worden, dit is het recht om ‘vergeten’ te worden.

 

De gegevensverantwoordelijke is in een aantal gevallen verplicht om de persoonsgegevens te wissen. Dit is bijvoorbeeld het geval indien de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, wanneer de toestemming door de betrokkene wordt ingetrokken en er geen andere rechtsgrond voor de verwerking aanwezig is, de persoonsgegevens onrechtmatig verwerkt zijn, etc.

Bovendien heeft elke verwerkingsverantwoordelijke de plicht om de betrokkene op de hoogte te brengen van elke wijziging of wissing, tenzij dit onmogelijk blijkt te zijn of onevenredig veel inspanning vergt.

 

 

(v) Integriteit en vertrouwelijkheid

 

De persoonsgegevens van de betrokkene moeten worden verwerkt met de garantie dat zij door een deugdelijk veiligheidsniveau worden beschermd. De verwerkingsverantwoordelijke moet daarbij gebruik maken van de passende technische en organisatorische maatregelen.

 

De bedrijfsvoering moet hier met andere woorden ook op afgestemd worden.

 

 

(vi) Doeleinde

 

De verwerkingsverantwoordelijke mag enkel persoonsgegevens opvragen voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde. De persoonsgegevens mogen niet worden verwerkt voor een ander doeleinde dat hiermee onverenigbaar is.

 

 

(vii) Bezwaar

 

De betrokkene moet het recht hebben om bezwaar te maken tegen de verwerking van zijn persoonsgegevens. In dit geval mogen de persoonsgegevens niet meer voor de aangegeven doeleinden worden verwerkt.

 

 

3. DPO

 

In grote organisaties moet een Data Protection Officer (DPO) aangesteld worden.

 

Betrokkenen kunnen met de DPO contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten. De DPO ziet hoofdzakelijk toe op de eerlijke en wettelijke verwerking van de persoonsgegevens. De DPO dient zijn taak uit te voeren met de nodige onafhankelijkheid die van hem vereist is.

 

 

4. Sancties

 

De GDRP geeft de nationale toezichthouder, de Privacy Commissie in België, de mogelijkheid om administratieve boetes tot 20.000.000,00 EUR of 4 % procent van de totale jaaromzet op te leggen.

Dergelijke geldboetes zijn hallucinant. Het is daarom belangrijk dat U uw bedrijfsvoering zeker afstemt op de GDPR regelgeving.

 

 

In ons seminarie van 14 december wordt de regelgeving uitgebreid toegelicht. Dit seminarie is spijtig genoeg volledig volzet. Hou onze website of LinkedIn-pagina zeker in het oog indien U op de hoogte wil blijven van komende seminaries.

 

Is uw onderneming nog niet klaar voor de GDPR regelgeving? Contacteer ons voor verder advies!

Auteur

News & events

01/12/2017

GDPR: What's in a name?

Vanaf 25 mei 2018 worden er nieuwe privacyregels van kracht, dewelke een grote impact zullen hebben op bijna alle ondernemingen, ook op die van U!

 

Elke onderneming die persoonsgegevens van EU-burgers verzamelt of verwerkt, zal vanaf die datum haar bedrijfsvoering moeten afstemmen op deze nieuwe privacyregels.

 

De nieuwe regels leggen een grote verantwoordelijkheid op de ondernemingen: elke onderneming wordt zelf verantwoordelijk voor de naleving van de nieuwe privacyregels en zal dat ook ten allen tijde moeten kunnen aantonen. Bij niet-naleving riskeert U een boete die kan oplopen tot 4% van Uw jaarlijkse omzet!

 

In deze nieuwsbrief wordt de nieuwe regelgeving in een notendop uitgelegd.

 

 

1. Toepassingsgebied

 

Iedere natuurlijke persoon of rechtspersoon dient de wettelijke verplichtingen en principes van de GDPR na te leven indien zij aan persoonsverwerking doet.

 

De nieuwe regelgeving is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

 

Het kernbegrip hierbij is ‘verwerking’:

 

“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”

 

Als onderneming bent U zich vaak niet bewust van het feit dat er dagelijks persoonsgegevens worden verwerkt: de werknemersadministratie, het versturen van nieuwsbrieven, het bijhouden van een klantenbestand, …

 

 

2. Algemene beginselen

 

            A. Rechtmatig, behoorlijk en transparant

 

De persoonsgegevens moeten verwerkt worden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

 

De verwerking is enkel rechtmatig indien ze aan ten minste één van onderstaande voorwaarden voldoet:

 

  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn gegevens voor één of meer specifieke doeleinden;
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene binnen de precontractuele fase maatregelen te nemen;
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de onderneming rust;
  • De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere persoon te beschermen;
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de onderneming is opgedragen;
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;

 

De toestemming moet gebeuren door middel van een verklaring of een ‘ondubbelzinnige actieve handeling’, dit is bijvoorbeeld een vakje aanduiden, handtekenen, etc.

Indien de verwerking berust op toestemming, moet de ‘verwerkingsverantwoordelijke’ kunnen aantonen dat de betrokkene toestemming heeft gegeven.

 

 

B. Rechten van de betrokkene

 

(i) Transparantie

 

De betrokkene moet op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm de nodige informatie kunnen ontvangen omtrent de gegevensverwerking.

 

Het moet met andere woorden voor individuen duidelijk zijn dat hun gegevens ingezameld, gebruikt, geraadpleegd of anders verwerkt worden.

 

(ii) Informatie en toegang tot de persoonsgegevens

 

Wanneer de persoonsgegevens bij de betrokkene zelf (of een derde) worden verzameld, dient de betrokkene geïnformeerd te worden van een aantal zaken zoals de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, het doel waarvoor de gegevens opgevraagd worden, etc.

 

 

(iii) Recht op inzage

 

De betrokkene heeft tevens het recht om duidelijkheid te verkrijgen over het al dan niet verwerken van zijn persoonsgegevens en wanneer dit het geval is, om inzage te verkrijgen van die persoonsgegevens en een aantal andere zaken.

 

 

(iv) Rectificatie en wissing van gegevens

 

De gegevens moeten juist zijn en indien nodig worden bijgewerkt. De betrokkene heeft het recht om onmiddellijk rechtzetting of vervollediging van onvolledige of onjuiste persoonsgegevens te vragen.

 

Daarnaast kan steeds om de gegevenswissing gevraagd worden, dit is het recht om ‘vergeten’ te worden.

 

De gegevensverantwoordelijke is in een aantal gevallen verplicht om de persoonsgegevens te wissen. Dit is bijvoorbeeld het geval indien de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, wanneer de toestemming door de betrokkene wordt ingetrokken en er geen andere rechtsgrond voor de verwerking aanwezig is, de persoonsgegevens onrechtmatig verwerkt zijn, etc.

Bovendien heeft elke verwerkingsverantwoordelijke de plicht om de betrokkene op de hoogte te brengen van elke wijziging of wissing, tenzij dit onmogelijk blijkt te zijn of onevenredig veel inspanning vergt.

 

 

(v) Integriteit en vertrouwelijkheid

 

De persoonsgegevens van de betrokkene moeten worden verwerkt met de garantie dat zij door een deugdelijk veiligheidsniveau worden beschermd. De verwerkingsverantwoordelijke moet daarbij gebruik maken van de passende technische en organisatorische maatregelen.

 

De bedrijfsvoering moet hier met andere woorden ook op afgestemd worden.

 

 

(vi) Doeleinde

 

De verwerkingsverantwoordelijke mag enkel persoonsgegevens opvragen voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde. De persoonsgegevens mogen niet worden verwerkt voor een ander doeleinde dat hiermee onverenigbaar is.

 

 

(vii) Bezwaar

 

De betrokkene moet het recht hebben om bezwaar te maken tegen de verwerking van zijn persoonsgegevens. In dit geval mogen de persoonsgegevens niet meer voor de aangegeven doeleinden worden verwerkt.

 

 

3. DPO

 

In grote organisaties moet een Data Protection Officer (DPO) aangesteld worden.

 

Betrokkenen kunnen met de DPO contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten. De DPO ziet hoofdzakelijk toe op de eerlijke en wettelijke verwerking van de persoonsgegevens. De DPO dient zijn taak uit te voeren met de nodige onafhankelijkheid die van hem vereist is.

 

 

4. Sancties

 

De GDRP geeft de nationale toezichthouder, de Privacy Commissie in België, de mogelijkheid om administratieve boetes tot 20.000.000,00 EUR of 4 % procent van de totale jaaromzet op te leggen.

Dergelijke geldboetes zijn hallucinant. Het is daarom belangrijk dat U uw bedrijfsvoering zeker afstemt op de GDPR regelgeving.

 

 

In ons seminarie van 14 december wordt de regelgeving uitgebreid toegelicht. Dit seminarie is spijtig genoeg volledig volzet. Hou onze website of LinkedIn-pagina zeker in het oog indien U op de hoogte wil blijven van komende seminaries.

 

Is uw onderneming nog niet klaar voor de GDPR regelgeving? Contacteer ons voor verder advies!

Auteur

News & events

01/12/2017

GDPR: What's in a name?

Vanaf 25 mei 2018 worden er nieuwe privacyregels van kracht, dewelke een grote impact zullen hebben op bijna alle ondernemingen, ook op die van U!

 

Elke onderneming die persoonsgegevens van EU-burgers verzamelt of verwerkt, zal vanaf die datum haar bedrijfsvoering moeten afstemmen op deze nieuwe privacyregels.

 

De nieuwe regels leggen een grote verantwoordelijkheid op de ondernemingen: elke onderneming wordt zelf verantwoordelijk voor de naleving van de nieuwe privacyregels en zal dat ook ten allen tijde moeten kunnen aantonen. Bij niet-naleving riskeert U een boete die kan oplopen tot 4% van Uw jaarlijkse omzet!

 

In deze nieuwsbrief wordt de nieuwe regelgeving in een notendop uitgelegd.

 

 

1. Toepassingsgebied

 

Iedere natuurlijke persoon of rechtspersoon dient de wettelijke verplichtingen en principes van de GDPR na te leven indien zij aan persoonsverwerking doet.

 

De nieuwe regelgeving is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

 

Het kernbegrip hierbij is ‘verwerking’:

 

“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”

 

Als onderneming bent U zich vaak niet bewust van het feit dat er dagelijks persoonsgegevens worden verwerkt: de werknemersadministratie, het versturen van nieuwsbrieven, het bijhouden van een klantenbestand, …

 

 

2. Algemene beginselen

 

            A. Rechtmatig, behoorlijk en transparant

 

De persoonsgegevens moeten verwerkt worden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

 

De verwerking is enkel rechtmatig indien ze aan ten minste één van onderstaande voorwaarden voldoet:

 

  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn gegevens voor één of meer specifieke doeleinden;
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene binnen de precontractuele fase maatregelen te nemen;
  • De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de onderneming rust;
  • De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere persoon te beschermen;
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de onderneming is opgedragen;
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde;

 

De toestemming moet gebeuren door middel van een verklaring of een ‘ondubbelzinnige actieve handeling’, dit is bijvoorbeeld een vakje aanduiden, handtekenen, etc.

Indien de verwerking berust op toestemming, moet de ‘verwerkingsverantwoordelijke’ kunnen aantonen dat de betrokkene toestemming heeft gegeven.

 

 

B. Rechten van de betrokkene

 

(i) Transparantie

 

De betrokkene moet op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm de nodige informatie kunnen ontvangen omtrent de gegevensverwerking.

 

Het moet met andere woorden voor individuen duidelijk zijn dat hun gegevens ingezameld, gebruikt, geraadpleegd of anders verwerkt worden.

 

(ii) Informatie en toegang tot de persoonsgegevens

 

Wanneer de persoonsgegevens bij de betrokkene zelf (of een derde) worden verzameld, dient de betrokkene geïnformeerd te worden van een aantal zaken zoals de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, het doel waarvoor de gegevens opgevraagd worden, etc.

 

 

(iii) Recht op inzage

 

De betrokkene heeft tevens het recht om duidelijkheid te verkrijgen over het al dan niet verwerken van zijn persoonsgegevens en wanneer dit het geval is, om inzage te verkrijgen van die persoonsgegevens en een aantal andere zaken.

 

 

(iv) Rectificatie en wissing van gegevens

 

De gegevens moeten juist zijn en indien nodig worden bijgewerkt. De betrokkene heeft het recht om onmiddellijk rechtzetting of vervollediging van onvolledige of onjuiste persoonsgegevens te vragen.

 

Daarnaast kan steeds om de gegevenswissing gevraagd worden, dit is het recht om ‘vergeten’ te worden.

 

De gegevensverantwoordelijke is in een aantal gevallen verplicht om de persoonsgegevens te wissen. Dit is bijvoorbeeld het geval indien de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, wanneer de toestemming door de betrokkene wordt ingetrokken en er geen andere rechtsgrond voor de verwerking aanwezig is, de persoonsgegevens onrechtmatig verwerkt zijn, etc.

Bovendien heeft elke verwerkingsverantwoordelijke de plicht om de betrokkene op de hoogte te brengen van elke wijziging of wissing, tenzij dit onmogelijk blijkt te zijn of onevenredig veel inspanning vergt.

 

 

(v) Integriteit en vertrouwelijkheid

 

De persoonsgegevens van de betrokkene moeten worden verwerkt met de garantie dat zij door een deugdelijk veiligheidsniveau worden beschermd. De verwerkingsverantwoordelijke moet daarbij gebruik maken van de passende technische en organisatorische maatregelen.

 

De bedrijfsvoering moet hier met andere woorden ook op afgestemd worden.

 

 

(vi) Doeleinde

 

De verwerkingsverantwoordelijke mag enkel persoonsgegevens opvragen voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde. De persoonsgegevens mogen niet worden verwerkt voor een ander doeleinde dat hiermee onverenigbaar is.

 

 

(vii) Bezwaar

 

De betrokkene moet het recht hebben om bezwaar te maken tegen de verwerking van zijn persoonsgegevens. In dit geval mogen de persoonsgegevens niet meer voor de aangegeven doeleinden worden verwerkt.

 

 

3. DPO

 

In grote organisaties moet een Data Protection Officer (DPO) aangesteld worden.

 

Betrokkenen kunnen met de DPO contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten. De DPO ziet hoofdzakelijk toe op de eerlijke en wettelijke verwerking van de persoonsgegevens. De DPO dient zijn taak uit te voeren met de nodige onafhankelijkheid die van hem vereist is.

 

 

4. Sancties

 

De GDRP geeft de nationale toezichthouder, de Privacy Commissie in België, de mogelijkheid om administratieve boetes tot 20.000.000,00 EUR of 4 % procent van de totale jaaromzet op te leggen.

Dergelijke geldboetes zijn hallucinant. Het is daarom belangrijk dat U uw bedrijfsvoering zeker afstemt op de GDPR regelgeving.

 

 

In ons seminarie van 14 december wordt de regelgeving uitgebreid toegelicht. Dit seminarie is spijtig genoeg volledig volzet. Hou onze website of LinkedIn-pagina zeker in het oog indien U op de hoogte wil blijven van komende seminaries.

 

Is uw onderneming nog niet klaar voor de GDPR regelgeving? Contacteer ons voor verder advies!