Sinds 25 mei 2018 is de Gegevensbeschermingsautoriteit (GBA) het nieuwe controleorgaan dat moet toezien op de naleving van de grondbeginselen van de General Data Protection Regulation (GDPR). De GBA is hiermee de opvolger van de Commissie voor de bescherming van de persoonlijke levenssfeer, of in de volksmond de Privacycommissie. Maar waar de privacycommissie hoofdzakelijk een adviesbevoegdheid had, gaan de bevoegdheden van de GBA veel verder.
Op 25 mei 2018 werd de Europese Algemene Verordening Gegevensbescherming van kracht, beter bekend onder de Engelse afkorting GDPR. De GDPR moet burgers opnieuw controle geven over hun persoonsgegevens die nu te pas, maar meestal te onpas door bedrijven en instanties worden gebruikt voor publicitaire en andere doeleinden. Of de GDPR deze belofte ook zal inlossen valt nog af te wachten. De voorbije maanden zorgde de verordening vooral voor uitpuilende brievenbussen en mailboxen en pop-ups die u tot vervelens toe aan het gebruik van uw cookies herinnerden. Maar het moet gezegd dat het besef van privacy sinds enkele maanden meer dan ooit aanwezig is bij de meeste ondernemingen en organisaties.
Het toezicht op de wijze waarop personen of organisaties persoonsgegevens verwerken ligt dus bij de GBA, die ook het grote publiek moet informeren, sensibiliseren en bijstaan over zijn rechten en plichten daaromtrent. De bevoegdheden van de GBA zijn velerlei. Zo treedt zij op bij klachten rond de naleving van de aangescherpte regels uit de GDPR, verricht zij controles en kan zij sancties opleggen wanneer de GDPR niet wordt nageleefd. De GBA kan inbreuken ook melden aan de gerechtelijke autoriteiten. M.a.w. de Gegevensbeschermingsautoriteit is voortaan de Belgische privacy-waakhond.
Op welke manieren kan uw onderneming in contact komen met de GBA?
Spontaan hoeft u alvast niet aan de GBA te melden dat u persoonsgegevens verwerkt. Dat doet u door een verwerkingsregister aan te leggen, waarin u alle verwerkingsprocessen van persoonsgegevens binnen uw onderneming oplijst. Denk daarbij aan uw personeelsadministratie, de kassa waarop individueel wordt ingelogd, camerabeelden, marketingcampagnes tot zelfs de registratie van debet- en creditkaarten. Bij een controle zal dit het eerste document zijn dat door de GBA zal worden opgevraagd.
In geval van datalekken zal u zich wel spontaan tot de GBA moeten wenden, en dit binnen de 72 uur. Een datalek kan zijn een kast die niet werd afgesloten waardoor onbevoegden toegang hadden tot uw persoonsgegevens, een foutief geadresseerd mailtje met gevoelige informatie (denk daarbij aan een loonbrief die per abuis naar de verkeerde werknemer werd gestuurd), het verlies van een usb-stick met klant- of personeelsgegevens,…
Ook bij klachten zal u met de GBA in aanraking komen, meer bepaald met de inspectiedienst. Een klacht kan bijv. komen van een ontevreden (ex-) werknemer, een klant of een prospect. Net zoals de sociale inspectiediensten heeft ook deze inspectiedienst de bevoegdheid personen te verhoren, ter plaatse onderzoeken uit te voeren, gegevens en gegevensdragers op te vragen en te kopiëren, informaticasystemen en goederen in beslag te nemen,… In eerste instantie zal de GBA echter adviserend optreden, u wijzen op uw fouten en die samen met u trachten te corrigeren.
Hebt u nog geen actie ondernomen voor de GDPR, Horecafocus biedt een
pakket aan diensten aan om u hierbij te helpen.
Lees ook:
De 5 basisprincipes van gegevensverwerking
Wist u dat ook u onder de GDPR-verplichting valt?