U bent hier

Nieuwe regels rond data protection

Nieuwe regels rond data protection

05/02/2018
De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is een geheel van regels, gepubliceerd op 4 mei 2016, om de gegevens van Europese burgers beter te beschermen. Ze is een herziening van de Europese wetgeving uit 1995 en is ontstaan uit de nood aan modernisering om ontwikkelingen zoals de cloud en sociale media het hoofd te bieden. De GDPR zorgt voor één legaal kader dat in heel Europa geldt en legt strengere regels op in verband met dataverwerking.

Vanaf 25 mei 2018 moeten bedrijven die persoonsgegevens verzamelen, voldoen aan deze nieuwe regels. Persoonsgegevens kunnen vanaf dan enkel nog worden verzameld met de toestemming van de persoon en moeten worden verwerkt met de grootste zorg voor privacy en bescherming van gegevens.

Bepaalde bedrijven worden verplicht om een data protection officer aan te nemen, die zal onderzoeken hoe de data worden verwerkt, met welke systemen dat gebeurt en die advies zal verlenen over eventuele aanpassingen. 

De voornaamste vernieuwingen in de GDPR draaien rond 4 items:

  1. Transparantie

Bedrijven moeten burgers informeren over hoe de data worden verzameld en verwerkt, en dat op een begrijpelijke manier.

  1. Data-overdracht

Burgers moeten hun gegevens kunnen overdragen van de ene dienstverlener naar de andere.

  1. Recht om vergeten te worden

Bedrijven moeten persoonsgegevens kunnen wissen als de betrokken persoon dit vraagt, ook als de data inmiddels gedeeld werden met derden (bv. direct mailing).

  1. Meldplicht bij datalekken

Bedrijven zijn verplicht een data-lek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar inhoudt voor de verzamelde persoonsgegevens.

Wie is betrokken bij deze nieuwe regelgeving?

De GDPR heeft een breed toepassingsgebied: alle actoren van de optieksector zijn betrokken van zodra zij, voor eigen rekening of deze van derden, gegevens met persoonlijk karakter manipuleren.

Art. 4.1. GDPR: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”

Het reglement huldigt het principe van de auto-verantwoordelijkheid en legt de last van de verplichting op de verantwoordelijken voor de verwerking van persoonsgegevens.  Bij controle zullen de actoren moeten kunnen aantonen welke technische en organisatorische middelen zij hebben ontwikkeld en de administratieve sancties bij niet-naleving zijn aanzienlijk!

Alle formaliteiten die totnogtoe werden nageleefd zullen vervangen worden door het houden van een register waarin het geheel van de gegevens met persoonlijk karakter zijn opgenomen. Dit register zal verplicht een aantal elementen moeten opnemen:

  • Naam en gegevens van de verantwoordelijke voor de verwerking (de zaakvoerder voor een zelfstandige) en desgevallend van de echtgeno(o)t(e) verantwoordelijk voor de verwerking, van de verantwoordelijke voor de verwerking en van de afgevaardigde voor de gegevensbescherming;
  • Finaliteit van de verwerking (klantenbeheer, beheer van leveranciers, statistieken , …);
  • Omschrijving van de categorieën van betrokkenen (klanten en prospects, leveranciers, gezondheidsprofessionelen) en van de categorieën van gegevens met persoonlijk karakter (identiteit van de personen, facturatie, historiek van de aankopen, gezondheidsgegevens);
  • Categorieën van bestemmelingen aan wie de gegevens met persoonlijk karakter werden of zullen worden meegedeeld (leveranciers, sociale zekerheid, gezondheidsprofessionelen,…);
  • Termijnen voorzien voor het verwijderen van de verschillende categorieën van de gegevens (5 jaar met een archiveringsduur van 15 jaar);
  • Algemene beschrijving van de technische en organisatorische veiligheidsmaatregelen…

Het register is verplicht voor alle ondernemingen met meer dan 250 werknemers maar ook voor opticiens, omdat zij gegevens verwerken die eventueel een risico inhouden voor de rechten en vrijheden van de dragers in het kader van de categorieën van gegevens, opgenomen in art. 9, § 1 van het reglement waar de gezondheidsgegevens zijn opgenomen.

Indien de omstandigheden zulks vereisen of indien zij hiervoor kiezen, zullen zij eveneens een DPO moeten aanstellen.

Wanneer zij de derdebetalersregeling toepassen zullen de opticiens er zich eveneens van moeten vergewissen dat de verzekerde uitdrukkelijk het inzamelen en verwerken van zijn gegevens heeft toegestaan (met inbegrip van gezondheidsgegevens) aan de gezondheidsplatforms en dat hij te allen tijde zijn toestemming kan intrekken.

De klant behoudt het recht info te krijgen, toegang te hebben tot zijn gegevens, deze te verbeteren of zich te verzetten tegen de verwerking. Iedere klant zou aan zijn opticien mogen vragen zijn gegevens over te maken aan een andere opticien.