1. GDPR
Bent u er klaar voor?
Mr. Maarten Verhaghe & Mr. Koen Vandenberghe
2. Wat is GDPR?
Van richtlijn naar wetgeving
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
24 okt 1995: niet dwingende richtlijn 95/46/EC wordt
gevolgd door een aantal EU lidstaten.
Richtlijnen moeten omgezet worden in nationale wetgeving
Aanpassing Belgische Privacy Wet 8 december 1992
27 april 2016: de Algemene Verordening
Gegevensverwerking wordt wet in elke EU lidstaat.
Verordening is onmiddellijk van toepassing en staat boven
nationale wetgeving.
Vanaf 25 mei 2018
Boetes tot max 20M EUR of indien hoger 4% van de jaarlijkse
omzet
3. Wat is GDPR?
Het handelt over
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Persoonsgegevens van klanten, leveranciers, personeel, …
Verwerken van persoonlijke data
Rechtmatige verwerking
Verantwoordingsplicht voor uw rechtmatigheid
Bescherming van persoonsgegevens
Rechten van betrokkenen
5. Persoonsgegevens binnen de GDPR
Wat met professionele gegevens?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Uitzondering op persoonsgegevens zijn de gegevens van rechtspersonen
Opgelet: mogelijk toch persoonsgegevens
Eventueel contactgegevens bij klanten en leveranciers
vb. direct marketing naar klant
Naam.voornaam@bedrijf.com
6. De verwerking in de GDPR
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Heel ruime interpretatie
Definitie:
“een bewerking of een geheel van bewerkingen met betrekking tot
persoonsgegevens of een geheel van persoonsgegevens, al dan niet
uitgevoerd via geautomatiseerde procedés, zoals het verzamelen,
vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen,
opvragen, raadplegen, gebruiken, verstrekken door middel van
doorzending, verspreiden of op andere wijze ter beschikking stellen,
aligneren of combineren, afschermen, wissen of vernietigen van
gegevens”
Iedere mogelijke handeling die kan worden ondernomen
Wat wordt met verwerking bedoeld?
7. De toepassing van de GDPR
Het toepassingsgebied van de verordening?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
GDPR
OndernemingEuropa
8. De toepassing van de GDPR
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Welke ondernemingen?
Niet incidenteel Gevoelige gegevens Waarschijnlijk risico
Uitzondering op verwerkingsregister voor KMO’s tenzij…
Belgische Privacy Commissie voorziet geen uitzondering
voor KMO’s
Iedere onderneming zal dienen te voldoen aan de GDPR
9. Verplichtingen onder de GDPR
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Welke verplichtingen rusten op de onderneming?
Informatie-
verplichting
Gegevens-
verwerkings-
register
Rechten van
betrokkenen
respecteren
Beveiliging en
melding van
datalekken
Contracten met
verwerkers
DPIA uitvoeren
Aanstellen DPO
10. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Betrokkene
Scenario 1: Directe relatie consument - KMO
DOEL VAN DE VERWERKING
Administratie
Facturatie
Dienst na verkoop (garantie)
Aanbiedingen (mailings)
PERSOONSGEGEVENS MEEDELEN
Naam
Adres
Mailadres
Telefoonnummer
Bankrekeningnummer
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
11. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Betrokkene
Scenario 1: Rechten en verplichtingen
VERPLICHTINGEN
Privacy policy
Gegevensverwerkingsregister
Beveiliging- en beschermingsbeleid
Meldplicht databreach
RECHTEN
Recht op beperkte verwerking
Recht op verbetering
Recht om vergeten te worden
Recht op toegang en inzage
….
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
12. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
VERWERKER
(Dropbox,
flexmail, cloud,
externe server,
CRM software, … )
Scenario 2: KMO - VERWERKER
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
DOEL VERWERKER
Gegevens omzetten in bruikbare vorm
Uitvoeren van de overeenkomst
DOORGEVEN GEGEVENS
Naam
Adres
Mailadres
Telefoonnummer
Bankrekeningnummer
13. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
VERWERKER
(Dropbox,
flexmail, cloud,
externe server,
CRM software, … )
Scenario 2: Rechten en verplichtingen
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
VERPLICHTINGEN
VERWERKER
Gegevensverwerkingsregister
Uitvoeren verwerkingsovereenkomst
Rechten van betrokkenen
Meldplicht databreach aan
verwerkingsverantwoordelijke
VERPLICHTINGEN
VERANTWOORDELIJKE
Melding in Privacy Policy
Verwerkingsovereenkomst met derde
Naleving overeenkomst controleren
Melding in Gegevensverwerkingsregister
14. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
VERWERKER
(Dropbox,
flexmail, cloud,
externe server,
CRM software, … )
Scenario 2: Risico van herkwalificatie
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
VERWERKINGSOVEREENKOMST
Wanneer de licentievoorwaarden van de software dicteren
hoe de gegevens zullen verwerkt worden zonder inspraak
van de verwerkingsverantwoordelijke, kan de relatie
beschouwd worden als “gezamelijke verantwoordelijken”.
Ongeacht de verwerkingsovereenkomst
15. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
VERWERKER
(Dropbox,
flexmail, cloud,
externe server,
CRM software, … )
Scenario 2: Gevolgen van herkwalificatie
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
VERWERKER = VERWERKINGSVERANTWOORDELIJKE
Privacy policy
Gegevensverwerkingsregister
Beveiliging- en beschermingsbeleid
Meldplicht databreach
16. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
SUB-VERWERKER
(Transportfirma, website,
portaalsite … )
Scenario 3: VERWERKER – SUB-VERWERKER
VERWERKER
(Dropbox,
flexmail, cloud,
externe server,
CRM software, … )
DOEL SUB-VERWERKER
Gegevens omzetten in bruikbare vorm
Uitvoeren van de overeenkomst
DOORGEVEN GEGEVENS
Naam
Adres
Mailadres
Telefoonnummer
Bankrekeningnummer
17. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
SUB-VERWERKER
(Transportfirma, website,
portaalsite … )
Scenario 3: Rechten en verplichtingen
VERWERKER
(Dropbox,
flexmail, cloud,
externe server,
CRM software, … )
VERPLICHTINGEN SUB-VERWERKER
Gegevensverwerkingsregister
Uitvoeren verwerkingsovereenkomst
Rechten van betrokkenen
Meldplicht databreach aan verwerker
VERPLICHTINGEN VERWERKER
Gegevensverwerkingsregister
Verwerkingsovereenkomst
Rechten van betrokkenen
Meldplicht databreach aan
verwerkingsverantwoordelijke
18. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
DERDE
(Boekhouder, overheid ,…. )
Scenario 4: KMO – DERDE uitvoering overeenkomst
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
DOEL DERDE
Uitvoering van de overeenkomst
Controle
DOORGEVEN GEGEVENS
Naam
Adres
Mailadres
Telefoonnummer
…
19. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
DERDE
(Adverteerder, portaalsite,
constructeur,…. )
Scenario 4: Rechten en verplichtingen
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
VERPLICHTINGEN
Privacy policy
Gegevensverwerkingsregister
Beveiliging- en beschermingsbeleid
Meldplicht databreach
Toestemming betrokkene ?
VERPLICHTINGEN
Naleven rechten van betrokkene
Melden aan derde uitoefening van
rechten
Melding aan betrokkene
Toestemming betrokkene ? Opt-in ?
20. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
DERDE
(Adverteerder, portaalsite,
constructeur,…. )
Scenario 5: KMO – DERDE (verkoop gegevens door
KMO of door de derde)
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
DOEL DERDE
Direct Marketing
DOORGEVEN GEGEVENS
Naam
Adres
Mailadres
Telefoonnummer
…
21. GDPR in de praktijk?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
DERDE
(Adverteerder, portaalsite,
constructeur,…. )
Scenario 5: Rechten en verplichtingen
KMO
(GARAGEHOUDER,
WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
VERPLICHTINGEN
Privacy policy
Gegevensverwerkingsregister
Beveiliging- en beschermingsbeleid
Meldplicht databreach
Toestemming betrokkene ?
VERPLICHTINGEN
Naleven rechten van betrokkene
Melden aan derde uitoefening van
rechten
Toestemming betrokkene ? Opt-in ?
22. GDPR in de praktijk? Direct Marketing
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
GARAGEHOUDER
(WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …) KMO
Eigen
Marketing
Doorgifte
binnen EER
Doorgifte
buiten EER
23. GDPR in de praktijk? Direct Marketing ?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
GARAGEHOUDER
(WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
KMO
Eigen
marketing
VERPLICHTINGEN
Vermelden in Privacy Policy
Geen toestemming betrokkene vereist:
- Rechtstreekse klant
- Bestaande klant
- Contractuele relatie
- Gelijkaardige producten of diensten
die de KMO zelf aanbiedt
- Mogelijkheid voor betrokkenen om
zich kosteloos uit te schrijven
24. GDPR in de praktijk? Direct Marketing
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
GARAGEHOUDER
(WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
KMO
Doorgifte
binnen EER
VERPLICHTINGEN
Vermelden in Privacy Policy
Principe: vrij verkeer van persoons-
gegevens binnen EER
Toestemming betrokkene vereist:
- Voorafgaandelijke toestemming
- Vrije toestemming
- Specifieke toestemming
- Geïnformeerde toestemming
- Wetboek Economisch recht “Opt-in”
ALTERNATIEF
Gerechtvaardigd belang van een derde
Belangenafweging
25. GDPR in de praktijk? Direct Marketing
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
GARAGEHOUDER
(WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
KMO
Doorgifte
buiten EER
VERPLICHTINGEN
Vermelden in Privacy Policy
Principe: geen vrij verkeer buiten EER
Uitzonderingen:
- Witte lijst EU Commissie
- US Privacy Shield
- Wettelijke uitzonderingen
- Toestemming doorgifte
Toestemming betrokkene vereist:
- Voorafgaandelijke toestemming
- Vrije toestemming
- Specifieke toestemming
- Geïnformeerde toestemming
- Wetboek Economisch recht “Opt-in”
26. GDPR in de praktijk? Direct Marketing
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
GARAGEHOUDER
(WEBSHOP,
MAKELAAR,
RESTAURANT,
ADVOCAAT …)
KMO
Doorgifte
binnen EER
Doorgifte
buiten EER
PROBLEMEN? Aankopen lijsten/databanken
Principe: geen probleem, maar…
Toestemming betrokkene?
Inlichten betrokkene
- Transparantie
Zelf de toestemming verkrijgen van
betrokkene:
- Voorafgaandelijke toestemming
- Vrije toestemming
- Specifieke toestemming
- Geïnformeerde toestemming
- Wetboek Economisch recht “Opt-in
27. De GDPR en risico’s bij niet naleving
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Welke risico’s?
1. Administratieve sancties tot 20M EUR of indien meer 4% totale
wereldwijde jaaromzet opgelegd door GBA (de vroegere Privacy
Commissie);
2. Winst- en reputatieschade door persbelangstelling;
3. Schadevergoeding wegens schending van rechten betrokkene;
4. Stakingsvorderingen door andere ondernemingen die het stopzetten
van de onwettige praktijken vorderen (concurrentievervalsing);
5. Strafsancties naar aanleiding van een afgerond strafonderzoek.
28. Privacy compliance?
Mr. Maarten Verhaghe
Mr. Koen Vandenberghe
Bewustmaking
Inventaris Data
Audit
Transparantie
Privacy Verklaring
Databreach