De evolutie van technologie en de manier waarop persoonsgegevens verzameld en verwerkt worden, beïnvloedt het leven van iedereen elke dag. Ook bedrijven verwerken persoonsgegevens. Ze verzamelen de persoonsgegevens van hun eigen personeel, houden een klantendatabase bij of doen aan direct marketing. Het is daarbij heel belangrijk dat de verwerking van persoonsgegevens in overeenstemming is met de verplichtingen van de Europese regelgeving over de bescherming van persoonsgegevens (“Verordening 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens”, “AVG” of ook “GDPR”).
Een onderneming die niet in regel is met de AVG/GDPR riskeert een boete tot 4% van haar jaaromzet en tot maximaal 20 miljoen EUR. Daarbovenop betekent een boete voor een bedrijf ook heel wat media aandacht die ongetwijfeld leidt tot reputatie- en imagoschade. De boodschap voor elk bedrijf is dus om GDPR compliant te zijn.
Nog even een opfrissing: wat is AVG?
Sinds 25 mei 2018 is de algemene verordening gegevensbescherming of AVG in werking getreden. Het geldt voor alle bedrijven die persoonsgegevens van personen in de Europese Unie verwerken, ongeacht of het bedrijf in de Europese Unie is gevestigd. De AVG omvat verplichtingen voor bedrijven over het verzamelen, opslaan van persoonsgegevens en de bescherming ervan.
Onder persoonsgegevens verstaat men alle informatie over een persoon waardoor de identiteit achterhaald kan worden. Dit gaat onder andere over: een naam, adres, e-mailadres, IP-adres, voorkeuren, CV, gezondheidsgegevens,… .
De belangrijkste verplichtingen binnen de AVG
De AVG geeft enkele belangrijke principes waar een bedrijf rekening mee moet houden bij het verwerken van persoonsgegevens. Het naleven van onderstaande basisbeginselen is een fundamentele bouwsteen voor een goede gegevensbeschermingspraktijk:
- De persoonsgegevens moeten op een rechtmatige, behoorlijke en transparante manier worden verwerkt. Kort gezegd, houdt dit in dat personen moeten worden geïnformeerd over de verwerking van persoonsgegevens en dat het bedrijf een geldige rechtsgrond moet hebben voor de verwerking van persoonsgegevens;
- De onderneming mag enkel persoonsgegevens verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
- De onderneming mag enkel persoonsgegevens verzamelen die noodzakelijk zijn de doeleinden waarvoor zij worden verwerkt. Het gaat om persoonsgegevens die minimaal nodig zijn voor een welbepaald doeleinde.
- De persoonsgegevens moeten juist zijn. Alle persoonsgegevens die onjuist zijn, moeten worden verwijderd.
- Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor de doeleinden;
- Bij de verwerking van persoonsgegevens moeten er passende technische en organisatorische maatregelen genomen worden die een passende beveiliging van de persoonsgegevens waarborgt.
Het bedrijf als verwerkingsverantwoordelijke staat in voor de naleving hiervan. Het niet-naleven van de beginselen kan aanzienlijke boetes opleveren.
Onze Bofidi Legal-experten helpen je graag verder
Sinds kort kan BOFIDI Legal jou bijstaan met de GDPR-compliancy aspecten, zoals onder andere:
- Assessment GDPR van een onderneming met concrete actiepunten;
- Assistentie bij registers van verwerkingsactiviteiten en een overzicht van verwerkers;
- Privacy- en cookie verklaring;
- Verwerkersovereenkomsten;
- Privacy Impact assessments;
- Advies rond internationale doorgifte van persoonsgegevens;
- Interne GDPR-compliance documenten en opleidingen aan werknemers/medewerkers.
Heb je nog vragen hierover of wens je een GDPR-compliance voor jouw onderneming op maat? Aarzel niet om ons te contacteren via info@bofidilegal.com.
Het team van Bofidi Legal experten helpt je graag verder.