Privacy & GDPR

Voldoet mijn website aan de huidige privacywetgeving?

Voldoet mijn website aan de huidige privacywetgeving? En heeft mijn organisatie alle formaliteiten vervuld die de Algemene Verordening Gegevensbescherming (beter bekend onder de naam ‘General Data Protection Regulation’ of ‘GDPR’) en soortgelijke regelgeving haar opleggen?

Menige onderneming zal zich deze vragen intussen wel gesteld hebben. Terecht ook, aangezien het verzamelen en verwerken van persoonsgegevens voor veel bedrijven een essentieel onderdeel vormt van hun bedrijfsprocessen. De huidige (internationale) wetgeving en moderne bedrijfsvoering stellen steeds strengere eisen aan de verwerking van persoonlijke informatie of persoonsgegevens.

Om te voldoen aan de huidige privacywetgeving dienen organisaties een aantal stappen te ondernemen. Hoe GDPR van toepassing is op jouw organisatie en welke concrete acties ondernomen moeten worden verschilt naargelang de feitelijke omstandigheden.

De volgende zaken zullen echter meestal vereist zijn:

  • Stel een ‘register van verwerkingsactiviteiten’ op. De bedoeling is dat je aan de hand van dit register de gegevensstromen binnen jouw organisatie in kaart brengt. Alle verwerkingsactiviteiten van jouw organisatie dienen daarbij formeel geregistreerd te worden: klantenbeheer, personeelsbeheer, leveranciersbeheer enz. Dit register dient bovendien regelmatig bijgewerkt te worden om actueel te blijven. Bij controle moet het register op verzoek van de Gegevensbeschermingsautoriteit kunnen worden voorgelegd.
  • Stel een ‘gegevensbeschermingsverklaring’ of ‘privacy policy Onder de geldende privacywetgeving dient iedere organisatie de betrokken personen te informeren omtrent de verwerking van hun persoonsgegevens, in een duidelijke en eenvoudige taal. Om geldig te zijn dient de privacy policy de betrokkenen correct te informeren. De privacy policy vormt dan ook in zekere zin een ‘vertaling’ van het register van verwerkingsactiviteiten, en vergt dus steeds maatwerk. Een bestaande policy van een andere organisatie overnemen biedt dan ook geen oplossing: los van de mogelijke inbreuk op hun intellectuele eigendomsrechten, zal dit meestal ook de verwerkingsactiviteiten van jouw organisatie niet correct weergeven en dus waardeloos zijn.
  • Zorg ook voor een correcte cookieverklaring op uw website. Het plaatsen van cookies is slechts toegestaan wanneer de betrokkene hierover duidelijke en correcte informatie ontvangen heeft. Hiertoe dien je dus een cookieverklaring te voorzien – al kan dit ook een onderdeel vormen van de privacy policy. Daarnaast zal voor sommige cookies (zgn. analystische cookies, advertentiecookies, social media plugins enz.) ook de uitdrukkelijke toestemming nodig zijn van de websitebezoekers. Het gebruik van een goed zichtbare banner of pop-up, met een link naar de cookieverklaring, is hier aan te bevelen.
  • Vraag om uitdrukkelijke toestemming van de betrokken personen om diens persoonsgegevens te verwerken. Deze toestemming is slechts één van de mogelijke rechtsgronden die de verwerking van persoonsgegevens kunnen verantwoorden. Er kunnen dus andere rechtsgronden zijn, zoals bvb. het uitvoeren van een contract – denk aan adresgegevens die verwerkt worden om een bestelling te kunnen afleveren. Voor sommige verwerkingsactiviteiten is de toestemming echter een belangrijke factor, onder meer voor het versturen van commerciële e-mails naar niet-klanten. De manier waarop deze toestemming gegeven wordt dient aan specifieke voorwaarden te voldoen om geldig te zijn.
  • Sluit een ‘verwerkingsovereenkomst’ (ook wel ‘Data Processing Agreement’ of ‘DPA’ genoemd) af met ondernemingen die in opdracht van jouw organisatie persoonsgegevens verwerken (de zgn. ‘verwerkers’, zoals sociale secretariaten, boekhoudkantoren, leveranciers van zgn. clouddiensten, enz.).
  • In sommige gevallen zal ook de aanstelling van een ‘functionaris voor gegevensbescherming’ (ook wel ‘Data Protection Officer’ of ‘DPO’ genoemd) vereist zijn. Die persoon dient op een onafhankelijke manier toe te zien op de naleving van de privacywetgeving en advies te geven omtrent de maatregelen die in dit verband dienen genomen te worden.
  • Pas waar nodig jouw algemene voorwaarden en/of klantencontracten, leverancierscontracten, arbeidsovereenkomsten en andere contracten aan, zodat ook daar correcte afspraken gemaakt worden omtrent de wijze waarop persoonsgegevens verwerkt worden.

De privacywetgeving is complex. Bovenstaande lijst is slechts een selectie van een aantal ‘must-haves’ op het vlak van GDPR. Om aan de privacywetging te voldoen moet daarnaast echter ook werk gemaakt worden van toegangsprocedures tot persoonsgegevens, een crisisplan in geval van data-inbreuken, procedures om persoonsgegevens te verwijderen (‘right to erase’, ‘right to be forgotten’) enzovoort.

Peak Legal helpt u graag verder om aan al uw privacy verplichtingen te voldoen.

Pierre VAN HOOREBEKE
pierre.vanhoorebeke@peaklegal.be

Uw partner voor juridische strategie

Dankzij Peak Legal kan je doelgericht en juridisch efficiënt ondernemen. Eén mail of telefoontje van ons kan al wonderen doen in een complexe zaak.

Contact

Lees meer nieuws

advocaat vacature

PEAK LEGAL is op zoek naar bijkomend talent

Wij zoeken een mid-level (3-5 jaar ervaring) advoca(a)t(e) (M/V) met een passie voor...

Lees Meer

coronavirus handelshuur

Coronavirus en handelshuur: overmacht, voor wie?

Een definitieve bevrijding van betalingsverplichtingen lijkt op grond van de algemene overmachtsregels nagenoeg niet mogelijk. Voor (handels)huurovereenkomsten kan een (tijdelijke) betalingsvrijstelling wel beargumenteerd worden.

Lees Meer

vermijd fraude

Vermijd fraude met uw vennootschap

Bepaalde vennootschapsrechtelijke transacties dienen verplicht gepubliceerd te worden in het Belgisch Staatsblad (bijv. benoeming zaakvoerder/bestuurder, verplaatsing maatschappelijke zetel,…).

Lees Meer