GDPR « General Data Protection Regulation” of AVG "Algemene Verordening Gegevensbecherming" is een door de Europese Unie opgestelde bindende wettekst die tot doel heeft vanaf 25 mei 2018 de persoonlijke gegevensbescherming van alle inwoners van de E.U. te garanderen.
Wat bedoelt men precies met “persoonlijke gegevens”? -> Alle informatie betreffende fysieke personen (naam, voornaam, verblijfplaats, digitale data, enz.)
Wie is betrokken bij de AVG/GDPR?
- Alle natuurlijke personen die een beroep uitoefenen en alle ondernemingen die persoonsgegevens van Europese burgers gebruiken, zowel in de publieke sector als in de privésector;
- De onderaannemers die uit hoofde van hun activiteiten moeten kunnen beschikken over persoonsgegevens van inwoners van de Europese Gemeenschap;
- En tot slot de particulieren die vooraf elk gebruik van hun persoonsgegevens hiertoe uitdrukkelijke toestemming moeten verlenen.
Wat zijn de doelstellingen en wat zijn de uitdagingen?
- Voor de particulieren : ervoor zorgen dat zij meer controle hebben over hun persoonlijke gegevens en over wie die kan inzien.
- Voor de ondernemingen : de regels voor een eerlijke concurrentie uniformiseren. De onderneming dient op eenvoudig verzoek van de particulier een overzicht voor te leggen van alle persoonsgegevens waarover zij beschikt.
- Gegevensbeheersysteem : de onderneming moet ervoor zorgen dat de gegevens waarover zij beschikt veilig worden bewaard, dat zij regelmatig het bestand met persoonsgegevens actualiseert, een procedure voorziet voor een correct beheer, dat zij instaat voor een veilige opslag en een procedure voorziet die ervoor zorgt dat overbodig geworden gegevens worden vernietigd.
- Gegevensbeveiliging : de onderneming is verplicht om de gegevens van klanten veilig op te slaan en/of te klasseren op een manier die de klanten beschermt tegen hacking en/of lekken. Het is verboden om persoonsgegevens te verkopen.
Hoe kan men weten of men conform AVG/GDPR is?
Het is de taak van de onderneming om alle noodzakelijke maatregelen te nemen en ervoor te zorgen dat zij conform is.
Zij moet kunnen aantonen dat zij alle verplichtingen aangaande persoonsbeveiliging is nagekomen.
- Kunnen bewijzen dat zij wel degelijk van de persoon de toelating heeft gekregen om de persoonlijke gegevens te gebruiken;
- Aantonen dat de onderneming de persoon duidelijk heeft ingelicht over wat er met zijn persoonsgegevens zou gebeuren;
- Bewijzen dat het verzamelen van de gegevens onmisbaar en noodzakelijk is om de dienstverlening waar de persoon op rekent te kunnen garanderen;
- Bewijzen dat de periode tijdens dewelke de gegevens worden bijgehouden in overeenstemming is met het beoogde doel;
- Bewijzen dat de gegevens beveiligd zijn.
Tot slot moet de onderneming, om in orde te zijn met GDPR, vóór 25 mei de inventaris opmaken van alle persoonsgegevens waarover zij beschikt.
Recht om te worden vergeten en recht van gegevensinzage
Een van de essentiële punten van deze nieuwe wetgeving is het recht om te worden vergeten en het recht van inzage in verzamelde persoonlijke gegevens.
Inderdaad, de onderneming moet te allen tijde aan een persoon een overzicht kunnen geven van al zijn door haar verwerkte persoonsgegevens.