Waarom zich aan de GDPR-richtlijnen houden vanaf mei 2018?

De Algemene Verordening Gegevensbescherming (AVG of in het engels: GDPR) treedt op 25 mei 2018 in voege. Deze wet, die op 27 april 2016 ondertekend werd, heeft enerzijds als doel de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en anderzijds de gegevensoverdraagbaarheid.

Dit betekent dat in elk land van de Europese Unie de bescherming en de gegevensoverdraagbaarheid van persoonsgegevens onder dezelfde wetgeving valt.  “Concreet wil dit zeggen dat de GDPR van toepassing is op elke structuur, elk bedrijf, elke vzw, organisatie of openbare entiteit, in Europa of ergens anders, die met persoonsgegevens te maken krijgt, i.e. alle informatie die toelaat om een persoon binnen de Europese Unie te identificeren”, legt advocaat Jacquelin d’Oultremont uit.

Waar zich als vereniging aan te houden?

Sommige aspecten van de GDPR zijn voldoende bekend, gezien persoonsgegevens bijvoorbeeld op een wettelijke en transparante wijze verwerkt dienen te worden en de verzameling ervan onderworpen is aan specifieke, expliciete en wettelijke doeleinden.

Toch dien je nog voorzichtig om te springen met bepaalde gegevens, zoals de toestemming van de persoon van wie je gegevens bijhoudt. Het onderschrijven dient op vrijwillige basis te gebeuren. Dat betekent onder andere ook dat reeds vooraf aangevinkte hokjes op websites verboden zijn“ zegt advocaat d’Oultremont.

Alle organisaties dienen na te gaan of hun verwerkingsprocessen, contracten en algemene verkoopsvoorwaarden de GDPR-richtlijnen volgen. Zo dienen deze ook rekening te houden met het ‘recht op vergeten te worden’ of het recht op gegevensoverdracht. Organisaties dienen op vraag van de betrokkene aan te tonen dat de technische en organisatorische maatregelen hiertoe doeltreffend toegepast worden.

Alle organisaties zullen ook een gegevensbeschermingseffectbeoordeling (GEB) dienen uit te voeren, voorafgaand aan de verwerkingsactiviteit, wanneer blijkt dat er een verhoogd risico is op het schenden van de rechten en de vrijheid van de betrokkenen. In praktijk betekent dit dat deze audits de bijzonderheid en de ernst van het te lopen risico zullen blootleggen, zodat er eventuele bijkomende maatregelen kunnen worden getroffen om in regel te zijn met de GDPR.  Deze verwerkingsactiviteiten dient ook te worden voorgelegd aan de nationale toezichthoudende instanties (in België is dat de Commissie ter bescherming van de persoonlijke levenssfeer).

Ondanks het feit dat er boetes aan verbonden zijn wanneer men zich niet aan de regelgeving houdt, wordt er echter in de regel weinig repressief opgetreden en werkt men eerder constructief.

Voor openbare diensten, of in het geval van verwerkingsactiviteiten m.b.t. persoonsgegevens op grote schaal, is men verplicht een DPO (Data Protection Officer) of verwerkingsverantwoordelijke aan te stellen. Deze persoon dient zich onafhankelijk op te stellen ten overstaan van zijn oversten en moet voldoende opgeleid te zijn. Zijn missie is om advies te verstrekken en de organisatie bij te staan met betrekking tot de toepassing van de GDPR, de toepassing van de richtlijnen te monitoren en als contactpersoon voor de nationale toezichthoudende instanties te fungeren. Zelfs wanneer het niet altijd nodig is, wordt de aanstelling van een verwerkingsverantwoordelijke of DPO sterk aanbevolen, gezien hij de belangrijkste persoon m.b.t. de uitvoering van de richtlijnen zal zijn.

Verder dienen bedrijven met meer dan 250 werknemers, of organisaties die ‘gevoelige’ persoonsgegevens verwerken, een verwerkingsactiviteitenregister aan te leggen met daarin een lijst van de verwerkingsactiviteiten. “Het specifieke aantal van 250 werknemers werd bewust opgegeven om rekening te houden met de bijzondere situatie waarin vereningingen of kleine - en middelgrote bedrijven zich bevinden.”

De verplichtingen m.b.t. de aanstelling van een verwerkingsverantwoordelijke

Het is desalniettemin mogelijk een verwerkingsverantwoordelijke (DPO) binnen je organisatiestructuur aan te stellen, gezien de vereisten i.v.m. de hierarchische onanfhankelijkheid van de verwerkingsverantwoordelijke (DPO) nog steeds toelaten dat deze functie wordt toegewezen aan een medewerker van je organisatie. De aangestelde persoon zal verantwoordelijk zijn voor het monitoren van de toepassing van de regelgeving.

Wat dit betreft kan het volgen van welbepaalde opleidingen door de verwerkingsverantwoordelijke helpen om de impact van de GDPR op uw organisatie beter te begrijpen. Een andere oplossing ligt erin deze functie over te dragen aan organisaties zoals advocatenkantoren, consultants of andere structuren die met de toepassing van de GDPR vertrouwd zijn, zodat je organisatie kan geholpen worden tijdens de verschillende fasen van de inregelstelling.

 

Informatiebijdrage van: