GDPR – Algemene informatie

 

Wat is de GDPR? 
Wat doet de GDPR? 
Wat betekent de GDPR voor mij? 
Aan wat moet ik allemaal denken? 
Wie controleert mij? 
Wat zijn de mogelijke sancties? 
Vragen? 

 

Wat is de GDPR?

De General Data Protection Regulation, of in het Nederlands, de 'Verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens' is een Europese regelgeving die tot stand kwam op 27 april 2016. De regels die hierin zijn opgenomen treden in werking op 25 mei 2018.

Zoals de naam het doet vermoeden, betreft de GDPR de bescherming van persoonsgegevens (en dus niet van ondernemingen of rechtspersonen). Daarbij vervangt het de huidige privacyregelingen die actueel in de verschillende Europese lidstaten gelden. Voor België was dit tot nu toe de Privacywet uit 1992.

Het doel van deze uniforme regeling bestaat erin het handelsverkeer te bevorderen door de regels te vereenvoudigen. Aangezien elke onderneming in Europa nu aan dezelfde regels onderworpen is, zou er sprake moeten zijn van een administratieve vereenvoudiging.

 

Wat doet de GDPR ?

De GDPR legt alle Europese lidstaten dezelfde privacyregels op. In dat kader wordt geen onderscheid gemaakt tussen een zelfstandige met een cliënteel van enkele honderden personen of een multinational die in meerdere landen actief is. Iedereen die gegevens verwerkt, valt onder het toepassingsgebied van de Verordening.

In de praktijk komt het er dus op neer dat alle ondernemingen zich in regel moeten stellen. De enige uitzondering geldt voor de verwerking van persoonsgegevens in het kader van louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit.

De GDPR wenst vooral transparantie na te streven. Het is de bedoeling dat een betrokkene (lees: patiënt) beter op de hoogte is wat met zijn gegevens wordt gedaan, over welke gegevens het gaat, met wie ze worden gedeeld, etc. De rechten van de betrokkene staan centraal. Het betreft hier voornamelijk zijn recht om inzage te krijgen, om correcties door te voeren en (nieuw) om zijn gegevens te laten wissen. U bent verplicht om binnen 1 maand na ontvangst van het verzoek van de betrokkene hierop te antwoorden.

Voortaan heeft elke nationale toezichthoudende overheid (zie verder) ook de mogelijkheid om controles uit te voeren en eventuele boetes op te leggen in geval van schending van de regels.

Binnen het toepassingsgebied van de GDPR dient u onder de volgende definities te verstaan:

Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

 

Wat betekent de GDPR voor mij ?

Afhankelijk van de rol die u heeft, zal de GDPR verschillende verplichtingen opleggen. Wat betreft de verwerking van persoonsgegevens moet een onderscheid gemaakt worden tussen de volgende categorieën van personen:

Verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Het is niet altijd gemakkelijk om te achterhalen of u verwerkingsverantwoordelijke dan wel verwerker bent. Voor elke activiteit dient u zich opnieuw de vraag te stellen: bepaal ik zelf het doel van en de middelen voor de verwerking van de persoonsgegevens of niet? Als het antwoord hierop ‘ja’ is, dan bent u de verantwoordelijke voor de verwerking.

De verwerkingsverantwoordelijke kan het verwerken van de gegevens uitbesteden aan een derde. Indien dat het geval is, bent u de loutere verwerker van persoonsgegevens aangezien u dit doet in opdracht van de verwerkingsverantwoordelijke. De eindverantwoordelijkheid blijft altijd bij de verwerkingsverantwoordelijke liggen, deze kan niet doorgeschoven worden naar de verwerker. Het is dus belangrijk om uw verwerker dezelfde verplichtingen op te leggen die ook op u rusten.

 

Aan wat moet ik allemaal denken?

In de meeste gevallen gaat u optreden als verwerkingsverantwoordelijke. In die gevallen bent u onderworpen aan heel wat (nieuwe) verplichtingen. Voor deze verplichtingen kunt u op deze pagina modellen/templates terugvinden.

  • Ten eerste dient u een register van verwerkingsactiviteiten bij te houden. In dit register somt u op welke gegevens u allemaal verwerkt, voor welk doeleinden, hoe u deze gegevens beschermt, waar u ze bewaart, etc. Op onze website vindt u een model van verwerkingsregister. Dat model bevat alle mogelijke verwerkingen die kunnen plaatsvinden binnen een apotheek.
  • Ten tweede moeten de personen van wie u gegevens ontvangt, geïnformeerd worden over het gebruik dat u van hun data maakt. Dit doet u bij voorkeur op het moment dat u deze gegevens ontvangt. In de praktijk komt dit erop neer dat u – verplicht ! – een informatiebrochure zal moeten afficheren aan de toonbank van de apotheek.
  • Vervolgens moet ook u, wanneer u als verwerkingsverantwoordelijke een beroep doet op een verwerker, hiermee een overeenkomst afsluiten. Deze overeenkomst somt duidelijk op welke gegevens hij voor u verwerkt, voor welke doeleinden, hoe hij deze verwerkt en wat hij hiermee dient te doen bij het einde van de overeenkomst.
  • Verder moeten ook een heel aantal documenten aangepast worden. Zo denken we maar aan de privacy policy die u op uw website zou hebben staan, of de cookie policy. Voor aanpassingen aan de vertrouwelijksclausules in arbeidsovereenkomsten met (onderhouds)personeel kunt u best contact opnemen met uw sociaal secretariaat.
  • Ten slotte dient u ook te beschikken over een formulier dat datalekken beschrijft. Wanneer een lek zich voordoet (u verliest bv. een doos met voorschriften), dan dient u dit formulier stap voor stap in te vullen. Eventueel dient u ook de Gegevensbeschermingsautoriteit en de betrokkene zelf op de hoogte te brengen van het datalek. Meer uitgebreide informatie vindt u hierover terug in de FAQ.
  • Eventueel dient u ook nog een DPO – Data Protection Officer (Functionaris voor Gegevensbescherming) – aan te stellen of een DPIA – Data Protection Impact Assessment (Gegevensbeschermingseffectbeoordeling) te laten uitvoeren. Beide zijn echter afhankelijk van de schaal waarop u persoonsgegevens verwerkt en dient dus geval per geval bekeken te worden.

 

Wie controleert mij?

Per land is er een toezichthoudende overheid. Dit is een door de lidstaat ingestelde onafhankelijke overheidsinstantie. Voor België is dit vanaf 25 mei 2018 de Gegevensbeschermingsautoriteit. De Gegevensbeschermingsautoriteit is te bereiken op: Drukpersstraat 35, 1000 Brussel, tel. 02/274 48 00.

In geval van een klacht door een patiënt zal die zich eerst tot u wenden. Daarnaast heeft hij ook de mogelijkheid om een klacht in te dienen bij de Gegevensbeschermingsautoriteit. Deze instantie heeft ook de mogelijkheid om u een administratieve geldboete op te leggen (zie verder).

 

Wat zijn de mogelijke sancties?

De ordegrootte van de sancties is een element waar snel door iedereen op gewezen werd. Het is namelijk zo dat in geval van een schending van een bepaling van de GDPR de administratieve boetes opgelegd door de Gegevensbeschermingsautoriteit kunnen oplopen tot 20 miljoen EURO of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dat cijfer hoger is.

 

Vragen?

Voor vragen die hier niet beantwoord zouden zijn, verwijzen wij u graag door naar de FAQ – Frequently Asked Questions.

© 2023 KLAV - Ilgatlaan 5 - 3500 Hasselt - T: 011/28 78 00 - F: 011/28 78 01 - info@klav.be - Sitemap - Disclaimer - Privacy Policy