
Voor veel ondernemers klinkt GDPR nog altijd als iets technisch of administratief. Iets enkel voor grote bedrijven, IT-teams of juristen. Maar in werkelijkheid raakt de Algemene Verordening Gegevensbescherming zowat elke onderneming, ook de kleinste kmo in België. Zodra je persoonsgegevens verwerkt — van klanten, werknemers, sollicitanten, leveranciers of websitebezoekers — moet je de regels naleven.
In deze blog lichten we de basisprincipes van de GDPR toe. GDPR-naleving gaat immers verder dan alleen het plaatsen van een privacybeleid op je website. Belgische ondernemingen moeten weten welke persoonsgegevens ze verwerken, waarom, hoelang, met wie ze die delen en hoe ze die beveiligen. Je moet niet alleen aan de regels voldoen, maar ook kunnen aantonen dat je dat doet.
De GDPR bevat een aantal fundamentele beginselen die de ruggengraat vormen van elke conforme gegevensverwerking. Wie die principes begrijpt, begrijpt in feite ook de logica van de regelgeving.
Persoonsgegevens moeten op een rechtmatige, behoorlijke en transparante manier worden verwerkt.
Concreet betekent dit dat je als onderneming een geldige reden moet hebben om gegevens te verwerken en daar open over moet communiceren. Wie gegevens verzamelt, moet kunnen uitleggen waarom dat gebeurt, op welke basis, met wie die gegevens eventueel worden gedeeld en welke rechten de betrokken persoon heeft.
Je mag persoonsgegevens alleen verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Daarna mag je die gegevens niet zomaar voor een ander, onverenigbaar doel gebruiken.
Dat klinkt evident, maar in de praktijk loopt het hier vaak mis. Een onderneming verzamelt bijvoorbeeld contactgegevens om een bestelling te verwerken, en gebruikt die nadien ook voor marketingcampagnes. GDPR verplicht ondernemingen om op voorhand helder te bepalen waarom gegevens nodig zijn — en daar vervolgens bij te blijven.
Je mag niet méér gegevens verzamelen dan nodig is voor het beoogde doel. De GDPR bepaalt uitdrukkelijk dat persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is.
Persoonsgegevens moeten correct zijn en, waar nodig, worden bijgewerkt. Onjuiste gegevens moeten worden rechtgezet of verwijderd. Dat veronderstelt dat er interne processen bestaan om informatie te actualiseren, fouten te corrigeren en irrelevante gegevens weg te nemen.
Gegevens mogen niet langer worden bewaard dan nodig is voor het doel waarvoor ze zijn verzameld.
Ook dit is een klassiek pijnpunt voor veel ondernemers. Oude sollicitaties blijven in mailboxen staan, klantenlijsten worden niet opgeschoond en accounts van ex-werknemers blijven actief. Back-ups worden eindeloos bijgehouden zonder duidelijk retentiebeleid. GDPR vraagt dat ondernemingen per categorie van gegevens nadenken over een passende bewaartermijn.
Persoonsgegevens moeten passend beveiligd worden tegen ongeoorloofde toegang, verlies, vernietiging of beschadiging. Dat gebeurt via technische en organisatorische maatregelen. Beveiliging is dus niet enkel een IT-kwestie. Het gaat evengoed over interne procedures, rollen en verantwoordelijkheden, toegangsbeheer, opleiding van personeel, vertrouwelijkheidsafspraken, encryptie, back-upbeleid en incidentenbeheer.
Je mag als onderneming niet zomaar persoonsgegevens verwerken “omdat dat handig is”. Elke verwerking moet een geldige rechtsgrond hebben onder de GDPR.
Voor ondernemingen zijn de meest relevante rechtsgronden:
Toestemming is niet altijd de ideale oplossing. Ze moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn, en bovendien eenvoudig kunnen worden ingetrokken. In werkrelaties blijkt dit vaak moeilijk.
Ook bij het beroep op het gerechtvaardigd belang is voorzichtigheid nodig. Dit veronderstelt een legitiem belang, een noodzakelijke verwerking en een afweging waarbij de rechten van de betrokkene niet zwaarder doorwegen.
Wie wil nagaan of een onderneming GDPR-conform werkt, moet vaak maar één document bekijken: het register van verwerkingsactiviteiten.
De Belgische Gegevensbeschermingsautoriteit benadrukt dat zowel verwerkingsverantwoordelijken als verwerkers interne documentatie moeten bijhouden en dat de uitzonderingen beperkt zijn. Het register moet op verzoek kunnen worden voorgelegd.
Het bevat onder meer informatie over:
Voor veel ondernemingen is dit het perfecte vertrekpunt om hun gegevensverwerkingen in kaart te brengen. Zonder zo’n overzicht blijft GDPR-compliance vaag en theoretisch.
De GDPR verplicht ondernemingen om betrokkenen duidelijk te informeren over de verwerking van hun persoonsgegevens.
Een standaardtekst van het internet volstaat echter niet. Een privacyverklaring is pas waardevol als de inhoud aansluit bij de werkelijke situatie binnen de onderneming.
Daarnaast moet een onderneming in staat zijn om verzoeken tot inzage, correctie, verwijdering of bezwaar effectief te behandelen. Wie intern geen zicht heeft op waar gegevens zich bevinden of wie verantwoordelijk is voor deze verzoeken, loopt hier snel vast.
Vrijwel elke onderneming werkt vandaag met externe partijen die persoonsgegevens verwerken, zoals cloudproviders, IT-leveranciers, HR kantoren, boekhoudsoftware, nieuwsbrieftools of CRM-platformen. Wanneer zij gegevens verwerken in opdracht van de onderneming, moet een verwerkingsovereenkomst worden afgesloten. Bovendien moet worden nagegaan of deze partijen voldoende garanties bieden op het vlak van beveiliging en gegevensbescherming.
In de praktijk betekent dit dat je als onderneming moet weten met welke leveranciers je werkt, welke persoonsgegevens zij verwerken en of er contractueel voldoende waarborgen zijn voorzien.
De GDPR verplicht ondernemingen om een passend beveiligingsniveau te voorzien, rekening houdend met de risico’s. Daarbij verwijst de verordening onder meer naar encryptie, vertrouwelijkheid, beschikbaarheid en het testen van maatregelen.
In de praktijk gaat het bijvoorbeeld om toegangsbeheer, sterke wachtwoorden, multifactor-authenticatie, back-ups, beveiligde toestellen en opleiding van personeel. Menselijke fouten blijven daarbij een belangrijke risicofactor.
Daarnaast moeten ondernemingen voorbereid zijn op datalekken. De GDPR bepaalt dat meldingsplichtige datalekken in principe zonder onredelijke vertraging en uiterlijk binnen 72 uur moeten worden gemeld aan de toezichthouder. De GBA verduidelijkt dat zulke meldingen via het GBA-portaal moeten gebeuren. Wie dan nog moet beginnen uitzoeken wie intern beslist of hoe een incident moet worden gedocumenteerd, verliest kostbare tijd.
Concreet komt GDPR-compliance voor een onderneming neer op een aantal basisacties.
De meeste problemen rond GDPR ontstaan niet door complexe juridische discussies, maar door herkenbare operationele tekortkomingen.
Vaak ontbreekt een duidelijk overzicht van gegevensverwerkingen, wordt een verkeerde rechtsgrond gekozen of worden standaardteksten gebruikt die niet aansluiten bij de praktijk. Ook ontbreken soms contractuele afspraken met leveranciers, bewaartermijnen of duidelijke interne verantwoordelijkheden.
Deze tekortkomingen brengen juridische risico’s met zich mee. De GDPR legt juist de nadruk op verantwoordelijkheid en transparantie. Voor Belgische ondernemingen maakt gegevensbescherming inmiddels integraal deel uit van goed bestuur.
Sterke ondernemingen zijn niet degenen met de langste privacyverklaring, maar zij die intern precies weten wat er met persoonsgegevens gebeurt en daar consequent naar handelen.
Hoewel de GDPR inmiddels al geruime tijd van kracht is, merken we in de praktijk dat er nog steeds veel vragen bestaan over de toepassing ervan. Wil je graag een doorlichting van jouw onderneming? Neem dan contact op met ons team IP, ICT en GDPR voor een adviesgesprek.