close
Share with your friends
gdpr

De impact van GDPR op KMO’s anno 2020

De impact van GDPR op KMO’s anno 2020

In mei 2018 ging de “Algemene Verordening Gegevensbescherming” ( kortweg “AVG” en beter bekend onder haar Engelstalige afkorting “GDPR”) van kracht. Dat bracht een totale hervorming van de privacywetgeving op Europees niveau met zich mee. Intussen is de GDPR twee jaar in werking en heeft de Belgische Gegevensbeschermingsautoriteit verschillende richtlijnen gepubliceerd. In dit artikel geven wij een overzicht van de stand van zaken.

1. Basisprincipes gegevensverwerking

De GDPR is van toepassing op het verwerken van ‘persoonsgegevens’. Dat wil zeggen “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”, bijvoorbeeld een naam, een adres, klantengegevens, camerabeelden of een ziektebriefje van een werknemer.

Indien een onderneming (of een vereniging, of andere soort entiteit) persoonsgegevens ‘verwerkt’, moet zij dit doen in overeenstemming met de GDPR. Het begrip ‘verwerken’ kent een ruime interpretatie en omvat alle soorten bewerkingen van persoonsgegevens, inclusief het verzamelen, gebruiken, opslaan, raadplegen en verzenden.

Om de afzonderlijke rechten en plichten te bepalen van elke partij die bij de verwerking van persoonsgegevens betrokken is, voorziet de GDPR in een drieledig onderscheid.

  • Ten eerste is de ‘betrokkene’ een natuurlijke persoon van wie persoonsgegevens worden verwerkt, bijvoorbeeld een klant of een websitebezoeker.
  • Ten tweede bepaalt de ‘verwerkingsverantwoordelijke’ het doel en de middelen van de verwerking, zoals de KMO die klantgegevens registreert om diensten te leveren.
  • Ten derde handelt de ‘verwerker’ in opdracht van de verwerkingsverantwoordelijke, bijvoorbeeld een sociaal secretariaat dat de payroll van een KMO uitvoert.

 

Voor meer informatie omtrent GDPR-beginselen verwijzen wij naar een eerder artikel op onze website.

2. KMO’s als prioritaire sector in België?

Ten gevolge van de inwerkingtreding van de GDPR, werd in elke Europese lidstaat een zogenaamde Gegevensbeschermingsautoriteit (kortweg “GBA”) opgericht die als onafhankelijk orgaan instaat voor de naleving van de privacywetgeving. Zodoende werd in België de GBA opgericht als rechtsopvolger van de voormalige “Commissie voor de Bescherming van de Persoonlijke Levenssfeer”, beter gekend als de “Privacycommissie”.

Tot het takenpakket van de Belgische GBA behoren onder andere het verlenen van adviezen en het publiceren van richtlijnen.

Daarbij besteedt zij bijzondere aandacht aan het bijstaan van KMO’s en familiale ondernemingen bij het naleven van de GDPR.

 

Hierna vindt u een overzicht van de meest relevante ontwikkelingen:

In januari 2018 werd een voorbereidende gids gepubliceerd om KMO’s en familiale ondernemingen wegwijs te maken in de nieuwe wetgeving.[1] Deze handleiding biedt uitstekende aanknopingspunten om vertrouwd te raken met de algemene principes en verplichtingen die rusten op de verwerkingsverantwoordelijke.

In juli 2019, lanceerde de GBA een bewustmakingscampagne om KMO’s bij te staan in de toepassing van de GDPR.[2] De GBA plande verschillende acties, waaronder het houden van enquêtes,[3] het sensibiliseren van beroepsverenigingen tot het opstellen van een gedragscode en het oprichten van een collectief platform om informatie uit te wisselen en vragen te stellen.

In 2020 lanceerde de GBA in het kader van de eerder genoemde campagne ook het KMO “Boost”-project.[4] Het project focust op drie grote privacythema’s,[5] en heeft als doel de kennis te verhogen door bijvoorbeeld diverse projectmaterialen aan te bieden, zoals informatieve video’s, een Q&A-brochure en openbare seminaries.

In haar strategisch plan 2020-2025 duidt de GBA de KMO-sector voor het eerst formeel aan als prioritair.[6] In dit strategisch plan stelt zij vast dat er nog steeds veel onduidelijkheid bestaat over een aantal beginselen en principes, bijvoorbeeld over de verplichtingen omtrent het register van gegevensverwerkingen, dataretentie en de functionaris voor gegevensbescherming. Om die redenen vergen KMO’s een begeleiding op lange termijn met duidelijke richtlijnen en instrumenten. Ten slotte belooft de GBA dat zij zal samenwerken met beroepsverenigingen en hen zal ondersteunen, gelet op hun belangrijke rol in de naleving van de GDPR.

[1] CPBL, ‘Wegwijs in de AVG voor KMO’s. Een gids om kleine en middelgrote ondernemingen (KMO’s) voor te bereiden op de Algemene Verordening Gegevensbescherming’, 2018, gegevensbeschermingsautoriteit.be.

[2] GBA, ‘Bewustmakingscampagne voor KMO’s’, 2019, gegevensbeschermingsautoriteit.be.               

[3] De resultaten van de enquête kan men op deze webpagina raadplegen.

[4] GBA, ‘De Autoriteit lanceert in het voorjaar van 2020 haar KMO-project “Boost”’, 2020, gegevensbeschermingsautoriteit.be.

[5] Het beginsel van transparantie, het uitvoeren van een gegevensbeschermingseffectenbeoordeling en de beginselen ‘verwerkingsverantwoordelijke’ en ‘verwerker’.

[6] GBA, ‘Strategisch Plan 2020-2025’, 2020, gegevensbeschermingsautoriteit.be. Het strategisch plan is gebaseerd op een publieke consultatie, die u hier kan raadplegen.

3. Conclusie

De hervorming die de GDPR teweeg bracht, spoorde de GBA aan om op structurele wijze in te zetten op de voorbereiding en de ondersteuning van KMO’s in de toepassing van de GDPR. Op verschillende wijzen trachtte zij het algemene kennisniveau van KMO’s te verhogen, bijvoorbeeld door handleidingen te publiceren, campagnes te houden en nieuwsbrieven te schrijven.

Er bestaan echter nog steeds een aantal onduidelijkheden over de invulling van de wetgeving. Om een oplossing te bieden benoemde de GBA de KMO-sector tot prioritaire sector in haar huidig strategisch plan en voorziet zij een begeleiding op lange termijn.

Indien u verdere vragen heeft over de toepassing van de GDPR met aandacht voor de specifieke noden van uw KMO, kan u steeds ons team van experts contacteren voor verdere informatie en begeleiding.

Neem contact met ons op