Veelgestelde vragen rond GDPR

• Wat is GDPR?
• Wat zijn persoonsgegevens volgens de GDPR?
• Wat zijn gevoelige gegevens?
• Op wie is de GDPR van toepassing?
• Wat zijn verwerkingen van gegevens volgens de GDPR?
• Wat zijn de belangrijkste principes van de GDPR?
• Wat is een DPO?
• Moet elk bedrijf een DPO aanstellen?
• Wat is een verwerkingsregister?
• Welke bedrijven moeten een  verwerkingsregister bijhouden?
• Wat als bedrijven niet in orde zijn?
• Wat doet Liantis in het kader van de GDPR?
• Waarom is er geen verwerkersovereenkomst beschikbaar voor Liantis preventie en welzijn, Liantis risk solutions, Liantis talent services, Liantis ondernemingsloket of Liantis sociaal verzekeringsfonds?

Wat is GDPR?

GDPR, voluit de General Data Protection Regulation (of in het Nederlands de Algemene Verordening Gegevensbescherming of AVG), is de veelbesproken Europese wetgeving over het verwerken van persoonsgegevens. Deze wetgeving legt heel wat spelregels vast over wat mag gebeuren met persoonlijke gegevens, welke procedures toegepast worden en hoe de gegevens beschermd worden. 

Wat zijn persoonsgegevens volgens de GDPR?

Met persoonsgegevens wordt alle informatie bedoeld waardoor  iemand geïdentificeerd kan worden: een naam, adres, telefoonnummer, leeftijd, e-mailadres, foto, bankrekeningnummer, medisch verslag, enz. 

Wat zijn gevoelige gegevens?

Sommige persoonsgegevens worden extra beschermd in de wetgeving en mogen enkel in specifieke omstandigheden gebruikt en verwerkt worden. Het gaat bijvoorbeeld om gegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze overtuiging of lidmaatschap van een vakbond blijkt. Ook gegevens over gezondheid, seksueel gedrag, seksuele gerichtheid of strafrechtelijke veroordelingen behoren tot deze categorie. 

Op wie is de GDPR van toepassing?

De GDPR is van toepassing op iedereen die persoonsgegevens verwerkt. Alle zelfstandigen en bedrijven vallen dus zeker onder deze wetgeving.

Wat zijn verwerkingen van gegevens volgens de GDPR?

Zowat elke handeling met gegevens is een verwerking, zoals onder andere het verzamelen, structureren, opslaan, wijzigen, raadplegen, doorsturen, verspreiden of wissen van persoonsgegevens.

Wat zijn de belangrijkste principes van de GDPR?

1. Bedrijven moeten burgers op een begrijpelijke en transparante manier informeren over hoe ze persoonlijke gegevens verzamelen en verwerken. 

2. Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden – ook als de data inmiddels gedeeld is met derde partijen. 

3. Bedrijven moeten het verzamelen, verwerken en opslaan van persoonlijke gegevens beperken tot specifieke, rechtmatige doeleinden. 

4. Burgers kunnen hun persoonlijke gegevens makkelijker overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen. 

5. Bedrijven zijn verplicht om een datalek te melden binnen de 72 uur, tenzij het bedrijf kan aantonen dat het lek geen gevaar is voor de verzamelde persoonlijke gegevens.

Wat is een DPO?

De DPO, of de ‘functionaris voor gegevensbescherming’, is degene die binnen een bedrijf controleert of alle data naar behoren wordt bewaard, gebruikt en gedeeld.

Moet elk bedrijf een DPO aanstellen?

Het aanstellen van een DPO is enkel verplicht voor overheidsinstanties, bedrijven die bij de dataverwerking observatie op grote schaal vereisen en bedrijven die gevoelige persoonsgegevens verwerken. Buiten deze gevallen is het aanstellen van een DPO niet verplicht.

Wat is een verwerkingsregister?

Het verplichte verwerkingsregister bestaat uit een overzicht van alle datastromen, verwerkingsprocessen en beveiligingen van de persoonsgegevens binnen een bedrijf.

Welke bedrijven moeten een  verwerkingsregister bijhouden?

Het bijhouden van een verwerkingsregister geldt voor organisaties met meer dan 250 werknemers of voor organisaties die ongeacht het aantal werknemers gegevens verwerken met een risico voor de rechten en vrijheden van betrokkenen, niet-incidentele verwerkingen doen of gevoelige gegevens verwerken. Voor andere bedrijven is dit niet verplicht, maar wel aan te raden volgens de Privacycommissie. Op de site van de Privacycommissie vindt u een model van een register.

Wat als bedrijven niet in orde zijn?

Bedrijven die  de GDPR niet naleven, riskeren een boete die maximaal kan oplopen tot 4% van de wereldwijde omzet, met een maximum van 20 miljoen euro. Het zal na de inwerkingtreding van de GDPR nog moeten blijken hoe streng de Privacycommissie zal controleren en eventueel bestraffen.

Wat doet Liantis in het kader van de GDPR?

Liantis streeft er al altijd naar om alle persoonsgegevens zo goed mogelijk te beschermen. Door de invoering van de GDPR namen wij uiteraard een aantal extra, specifieke maatregelen om aan alle nieuwe regels te voldoen. Deze extra maatregelen omvatten onder andere het opstellen van een verwerkingsregister, het verbeteren van de beveiliging van de gegevens, het aanstellen van een DPO, de rechten van betrokkenen garanderen … 

Waarom is er geen verwerkersovereenkomst beschikbaar voor Liantis preventie en welzijn, Liantis risk solutions, Liantis talent services, Liantis ondernemingsloket of Liantis sociaal verzekeringsfonds?

Deze overeenkomst moet enkel afgesloten worden als een van beide partijen de zogenaamde “verwerkingsverantwoordelijke” is en de andere effectief “verwerker”. Een “verwerker” verwerkt gegevens louter in opdracht en bepaalt zelf niet hoe en waarom hij deze verwerkt.  

Liantis preventie en welzijn, Liantis risk solutions, Liantis talent services, Liantis ondernemingsloket en Liantis sociaal verzekeringsfonds bepalen zelf welke gegevens nodig zijn, hoe ze verwerkt worden en wat met deze gegevens gebeurt om de best mogelijke dienstverlening te kunnen aanbieden. Volgens de GDPR-wetgeving zijn deze entiteiten “verwerkingsverantwoordelijke” in plaats van “verwerker”, zodat er geen verwerkersovereenkomst kan afgesloten worden.