Steunpunt Korte Keten,

jouw eerste aanspreekpunt
voor vragen over de korte keten.

Is jouw bedrijf GDPR-proof?

Twee en een half jaar geleden, op 25 mei 2018, trad de General Data Protection Regulation (GDPR) in werking. Is jouw bedrijf al helemaal GDPR-conform? Hoog tijd voor een opfrissing van de voornaamste verplichtingen.

Ter herinnering: wat is de GDPR?

De GDPR is een Europese privacywetgeving, die richtlijnen geeft aan ondernemingen over hoe ze persoonsgegevens van burgers mogen verzamelen en beheren. 

Centraal in het GDPR-verhaal staat de verwerking van persoonsgegevens. Dat is alle informatie waarmee je een individu identificeert, zoals een naam, e-mail- of thuisadres, rijksregisternummer, foto, vingerafdruk, telefoonnummer, IP-adres,... Elke gestructureerde bewerking van die gegevens is een verwerking onder de GDPR: opslaan, wijzigen, doorsturen, vernietigen,… 

Wat zijn je belangrijkste verplichtingen onder de GDPR? 

De GDPR verwacht van jou als ondernemer in hoofdzaak het volgende: 

1. Maak een dataregister op 
Een GDPR-conform beleid start bij het opmaken van een verwerkingsregister. Dit is een papieren of digitaal logboek waarin je al je dataverzamelingen oplijst en documenteert. Je verklaart hierin welke persoonsgegevens je bijhoudt, waarom, in welke categorieën, hoelang en met wie je ze deelt. 

2. Voorzie een privacy policy
Wie gegevens verzamelt, moet hier duidelijk over communiceren. Dat doe je het best via een privacyverklaring op je website. Doe dit op een transparante, toegankelijke manier en steeds in duidelijke taal. 

3. Sluit verwerkersovereenkomsten met je leveranciers
Wanneer je regelmatig persoonsgegevens uitwisselt met andere ondernemingen, moet je met hen verwerkersovereenkomsten afsluiten. Hierin neem je concrete afspraken op over hoe zij met de verkregen data moeten omgaan.   

4. Meld datalekken tijdig 
Word je het slachtoffer van een gegevenslek, dan moet je dit - binnen de 72 uur na de vaststelling ervan - melden aan de GBA. De meldingsplicht geldt enkel wanneer het waarschijnlijk is dat het datalek een risico vormt voor de rechten en vrijheden van natuurlijke personen. Let op: ook bijvoorbeeld een verloren usb-stick of laptop kan een datalek uitmaken. Voorzie in een draaiboek en neem de gepaste voorzorgsmaatregelen om lekken te vermijden. 

Wat als je de GDPR niet naleeft?

Dat kan grote gevolgen hebben, namelijk hoge boetes die oplopen tot 4% van de wereldwijde omzet van je onderneming, met een maximum van 20 miljoen euro. In eerste instantie kom je er mogelijk vanaf met een waarschuwing of het verzoek om bepaalde persoonsgegevens te wissen, te wijzigen of meer in overeenstemming te brengen met de GDPR-bepalingen. Ga niet te licht over deze verplichting. Zowel in België als in de andere Europese landen, zijn er reeds grote GDPR-boetes uitgeschreven. Hierbij valt op dat het niet (enkel) de grote bedrijven, genre Microsoft, Google of Facebook, zijn die worden geviseerd. Ook kleinere ondernemingen worden beboet. Denk bijvoorbeeld aan lokale politici die persoonsgegevens uit hun privéberoep gebruikten in het kader van een verkiezingscampagne, of een bedrijf dat de mailbox van een voormalige CEO nog 2.5 jaar actief hield na zijn ontslag.

Johanna Waelkens
Kenniscentrum SBB Accountants en Adviseurs