De nieuwe privacywetgeving vanaf mei 2018: een uitdaging voor alle bedrijven!

Opinie van 10/11/2017 door Fa Quix

Vanaf 25 mei 2018 dienen alle ondernemingen de nieuwe privacyregels te respecteren. Algemeen worden die aangeduid als GDPR (General Data Protection Regulation) of in het Nederlands AVG (Algemene Verordening Gegevensbescherming). Het gaat niet om een kleine aanpassing, maar wel om een grondige wijziging waar alle ondernemingen die gegevens verwerken mee te maken hebben.

Er wordt vertrokken vanuit de bekommernis dat de persoonlijke data maximaal moeten beschermd worden. Kernpunt is dat de rechten van de betrokkenen beschermd moeten worden, waarbij zij moeten weten welke gegevens van hen verwerkt worden en voor welke doeleinden die gegevens gebruikt worden. De betrokkenen kunnen altijd de data laten wijzigen of laten intrekken.

Natuurlijk moeten de bedrijven ook nog kunnen werken. Want zonder data gaat dat niet. U moet bv. weten wie uw werknemers zijn, en uw klanten, uw leveranciers, externe relaties, enz. Daarom moet u in kaart brengen welke persoonlijke data er worden verwerkt door wie, en voor welke doelstelling. Voorwaar een hele administratieve klus waar u als bedrijf, groot of klein, door moet. Door dit goed in kaart te brengen moet duidelijk zijn op welke grondslag u zich als onderneming kan beroepen om de gegevens te mogen verwerken.

En er zijn vijf rechtsgronden, naast de toestemming, waarop de onderneming zich kan beroepen om persoonlijke gegevens te mogen verwerken en waar dus geen expliciete toestemming voor nodig is: de uitvoering van een overeenkomst, de wettelijke verplichting, het vitaal belang, het openbaar belang, en het gerechtvaardigd belang. Dat geldt zeker voor de persoonlijke gegevens van de werknemers, want anders kan u bv. de loonberekening niet correct doen. Maar voor de verwerkingen waar geen beroep kan gedaan worden op één van deze grondslagen is de expliciete en ondubbelzinnige toestemming steeds vereist.

Belangrijk is in elk geval dat u het aanpakt. Dat u alle persoonlijke gegevens die u gebruikt in kaart brengt, en er de juiste vragen bij stelt. 

Fedustria stelt daartoe vrijblijvend een instrument, een tool zeg maar, ter beschikking van haar lidbedrijven. Deze tool werd ontwikkeld door de technologiefederatie Agoria, in eerste instantie voor haar eigen leden, en daar maken nu al meer dan 100 bedrijven gebruik van. En die tool kunnen wij u dus nu ook aan een interessant voordeeltarief aanbieden (u ontvangt hierover binnenkort een aparte brief).

Is daarmee de zaak afgehandeld? Neen, u zal dankzij die tool wel precies te weten komen wat u moet doen, en hoe u dat moet doen, en u krijgt er een aantal middelen bij zoals modelformulieren. Maar u zal zelf nog bepaalde personen moeten aanschrijven en hen hun expliciete toestemming vragen om hun gegevens voor een welbepaald doeleinde te mogen gebruiken. Eén ding is zeker: dankzij die GDPR-tool zal duidelijk worden opgelijst wát u wél en niet (meer) moet doen. Als u daarna nog een beroep zou willen doen op externe expertise, dan zal die u vrijwel niets meer kunnen wijsmaken.

Ja, er kunnen zware sancties volgen als u de nieuwe privacyregels niet respecteert vanaf 25 mei 2018. Maar als u de instructies van de GDPR-tool volgt, dan zal u niet veel te vrezen te hebben. U moet het dan wel dóen natuurlijk. Veel succes!

Fa Quix, directeur-generaal