Deze pagina maakt deel uit van onze Privacypagina onder ICT-recht diensten. 

Het keyword binnen de GDPR is ‘verantwoording’ (‘accountability’). De GDPR eist van ondernemingen dat zij hun gevoerde privacybeleid verantwoorden. Zij moeten kunnen verklaren waarom zij bepaalde persoonsgegevens verzamelen en verwerken. Verder moeten zij kunnen aantonen dat zij de privacy van het individu steeds in het achterhoofd houden en de impact op diens privacy tot een minimum beperkt wordt.

De GDPR benadrukt ook dat het privacybeleid van ondernemingen transparant moet zijn. Ondernemingen moeten helder communiceren over de wijze waarop zij persoonsgegevens verwerken. Bovendien moet elke onderneming het datasubject (lees: de persoon waarover data wordt verzameld) uitvoerig informeren over zijn rechten en dit liefst in duidelijke en verstaanbare taal. Zo heeft elke betrokkene het recht om de gegevens die over hem worden bijgehouden in te kijken. Ook mag hij eventuele foute gegevens laten corrigeren, vragen om de verwerking te beperken of zelfs te beëindigen en heeft het recht om vergeten te worden.
Een onderneming kan haar privacybeleid het best uitschrijven in een privacyverklaring die ze vervolgens ter beschikking stelt op haar website. Bovendien doet een onderneming er goed aan een register bij te houden waarin ze alle informatie over de dataverzameling en –verwerking zorgvuldig documenteert. Voor grote ondernemingen is een dergelijk dataregister een verplichting.

Verder introduceert de GDPR de begrippen ‘privacy by design’ en ‘privacy by default’.
Met ‘privacy by design’ verlangt de GDPR van ondernemingen dat zij bij het ontwikkelen van nieuwe producten, processen en diensten op ieder ogenblik de meest privacyvriendelijke aanpak hanteren. Gegevensbescherming moet met andere woorden een essentieel aspect vormen bij de ‘design’ van nieuwe producten. ‘Privacy by default’ veronderstelt dat een onderneming ten aanzien van haar klanten steeds de meest privacyvriendelijke optie als standaard moet gebruiken. Een onderneming mag er niet langer van uitgaan dat de klant automatisch zijn toestemming geeft om zijn persoonsgegevens te verwerken. Zo moet de klant bijvoorbeeld zelf de keuze gelaten worden om het vakje ‘abonneren op de nieuwsbrief’ al dan niet aan te vinken.

Hoeveel organisatorische en technische voorzorgen u als onderneming ook neemt, een datalek kan u nooit helemaal uitsluiten. Een fout in de systeembeveiliging of cybercriminelen die met de data aan de haal gaan, de persoonsgegevens die uw onderneming verwerkt zijn nooit 100% veilig. Een onderneming doet er dan ook goed aan niet enkel een preventief, maar ook een reactief privacybeleid uit te tekenen. Een onderneming die geconfronteerd wordt met een datalek waarbij belangrijke persoonsgegevens verloren gaan of gestolen worden, heeft onder de GDPR een meldingsplicht. De onderneming moet in eerste instantie de nationale data protection authority op de hoogte brengen van het datalek en dit binnen de 72 uur. In België is dat – voorlopig nog – de Privacycommissie. Verder vereist de GDPR dat de onderneming in bepaalde gevallen ook het datasubject zelf op de hoogte brengt van het datalek.

De GDPR geeft de data protection authority de bevoegdheid om ondernemingen die hun GDPR-verplichtingen niet nakomen te sanctioneren. Ondernemingen die niet GDPR-compliant zijn, riskeren een administratieve boete die kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet. De GDPR vereist dat de boete in ieder geval voldoende afschrikkend is. Kapitaalkrachtige ondernemingen die slordig omspringen met persoonsgegevens zullen hun inbreuken op de GDPR dus niet zomaar kunnen afkopen.

Meer gedetailleerde informatie? Lees onze GDPR-gids of neem gewoon direct contact met ons op!