Iedere levende persoon heeft recht op bescherming van zijn persoonsgegevens. Deze bescherming wordt geregeld in de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
In de AVG zijn regels opgenomen over hoe ondernemingen moeten omgaan met persoonsgegevens (privégebruik valt buiten de werkingssfeer van de AVG) . De AVG bepaalt onder andere wat onder de definitie van een persoonsgegeven valt en waarborgen die een onderneming moet treffen bij het verwerken van deze persoonsgegevens. Bijna iedere onderneming verwerkt persoonsgegevens, al is het op het vlak van een personeelsdossier of de loonadministratie. Het is dan ook van belang dat u weet aan welke AVG-verplichtingen uw onderneming moet voldoen.
Regels voor de verwerking van persoonsgegevens
In de AVG zijn verschillende beginselen vastgelegd waar een onderneming die persoonsgegevens verwerkt, de zogenoemde ‘verwerkingsverantwoordelijke’, aan moet voldoen. Zo mogen persoonsgegevens alleen worden verwerkt op een manier die rechtmatig, behoorlijk en transparant is, voor doeleinden die uitdrukkelijk omschreven en gerechtvaardigd zijn. Ondernemingen moeten de verzameling van persoonsgegevens daarbij beperken tot het hoogstnoodzakelijke en de persoonsgegevens verwijderen zodra deze niet meer nodig zijn voor de doeleinden waarvoor ze zijn verzameld. Ook moeten er maatregelen worden getroffen de juistheid van de persoonsgegevens te waarborgen en om de persoonsgegevens afdoende te beschermen.
Naast deze algemene beginselen geeft de AVG ook nadere regels voor de verwerking van bijzondere (zoals medische of religieuze) persoonsgegevens. Tevens is bepaald welke informatie de verwerkingsverantwoordelijke moet verstrekken aan de personen van wie persoonsgegevens worden verzameld. Deze personen hebben op basis van de AVG verschillende rechten die zij kunnen uitoefenen, waar de verwerkingsverantwoordelijke aan mee moet werken. De AVG bevat tevens een meldplicht in geval van een datalek, zowel een plicht tot melding aan de Gegevensbeschermingsautoriteit als aan de betrokkenen.
Verantwoordingsplicht
De AVG legt aan ondernemingen die persoonsgegevens verwerken de verplichting op om aan te kunnen tonen dat aan de vereisten van de AVG wordt voldaan. Ondernemingen zullen een aantal maatregelen moeten treffen en documenteren om aan deze verantwoordingsplicht te kunnen voldoen.
Denk hierbij aan:
- het opstellen en bijhouden van een verwerkingsregister;
- een gegevensbeschermings- en cookieverklaring;
- een (intern) privacyreglement;
- beoordelen of een Functionaris voor de Gegevensbescherming (DPO) dient te worden aangesteld.
- een datalekkenprotocol en datalekkenregister;
- beoordelen of er verwerkersovereenkomsten dienen te worden gesloten;
- het treffen van passende organisatorische en technische maatregelen om de persoonsgegevens afdoende te beschermen;
Hoe kunnen wij u bijstaan als advocaat?
Onze advocaten hebben ervaring met (het bieden van ondersteuning bij het) het implementeren van de AVG en het opstellen van bovengenoemde documenten. Daarnaast helpen zij ondernemingen om te gaan met datelekken en de communicatie met de Gegevensbeschermingsautoriteit.
