Informatie

GDPR: breng zelf jouw onderneming in orde met de nieuwe privacyregels

De nieuwe privacyregels zoals vastgelegd in de GDPR hebben een impact op alle ondernemingen. Ondernemingen die heel actief bezig zijn met direct marketing, profiling en big data laten zich best bijstaan door een expert.

Maar ook alle andere ondernemingen verwerken op één of andere manier persoonlijke gegevens en moeten zich in orde stellen. Waar moet je zeker op letten?

1. Weet welke gegevens je verwerkt

Iedere onderneming moet een verwerkingsregister bijhouden, waar je in moet opnemen:

  • welke gegevens je verwerkt: breng in kaart welke gegevens je verwerkt (van klanten, leveranciers, personeel, …)
  • voor welk doel: voor elk gegeven dat je verwerkt moet je bepalen op welke grondslag je die gegevens verwerkt. Dat hoeft niet altijd de toestemming zijn. Gegevens die noodzakelijk zijn om een overeenkomst uit te voeren, of waar je een gerechtvaardigd belang voor hebt, mag je op die grondslagen verwerken. Lees hierover zeker de informatie na op de website van de Gegevensbeschermingsautoriteit.
  • Hoe lang je de gegevens bijhoudt: je mag gegevens nooit langer bijhouden dan wat absoluut noodzakelijk is voor het doel dat je hierboven hebt bepaald.
  • Aan wie je de gegevens doorgeeft

Er zijn ook nog andere zaken die in zo’n verwerkingsregister moeten staan. Die kan je terugvinden in ons model:

Template Register verwerkingsactiviteiten .xlsx 283.54 kB Leden

2. De rechten van de betrokkenen

De personen van wie je gegevens verwerkt, moeten hun rechten m.b.t. die verwerking op een goede en makkelijke manier kunnen uitoefenen. Alle informatie over de rechten van betrokkenen, vind je op de website van de Gegevensbeschermingsautoriteit.

3. Informatie via privacyverklaring

Alle informatie over de gegevens die je verwerkt, de grondslagen voor die verwerking, de bewaartermijnen, … moet je opnemen in een privacyverklaring die:

  • Beknopt is,
  • Transparant (omtrent de verwerking van de persoonsgegevens, m.a.w., wat ermee gaat gebeuren)
  • Begrijpelijk (duidelijke en eenvoudige taal, in het bijzonder wanneer de informatie voor een kind bestemd is), en
  • gemakkelijk toegankelijk

Je kan ook gebruik maken van een gelaagde privacyverklaring. Zo kan je in jouw privacyverklaring verwijzen naar jouw website waar je het privacybeleid meer gedetailleerd bespreekt.

Hieronder vind je een model van privacyverklaring: 

Model Privacyverklaring uitgebreid - NL .docx 33.71 kB Leden
Model Privacyverklaring uitgebreid - EN .docx 32.73 kB Leden
Gebruik de UNIZO GDPR - tool

Wil je zelf de nodige stappen zetten om jouw onderneming in orde te brengen op het vlak van GDPR? Gebruik dan onze GDRP - tool: 

GDPR - tool

Beluister de podcast

Fout opgemerkt? Laatst gewijzigd: 03/10/2024

Reclame per mail sturen naar klanten

Mailings zijn vaak enorm interessante manieren om klanten te informeren over uw aanbod, of potentiële klanten te prospecteren. Maar let op: algemene mailings met reclame sturen, is niet zomaar toegelaten. 

Principe

In principe is het versturen van algemene mailings met reclame zelfs specifiek verboden zonder toestemming van de bestemmeling. Dat betekent dus dat je eigenlijk eerst een duidelijke toestemming moet hebben van de bestemmeling om hem of haar op te nemen in jouw mailinglijst. Heb je die toestemming niet, dan mag je die mailing dus niet daar die persoon versturen. 

Uitzondering

Er geldt wel een belangrijke uitzondering, voor bestaande klanten. Je mag dergelijke algemene mailings met reclame sturen naar bestaande klanten, ook zonder hun voorafgaande toestemming. Voorwaarde is dan wel:

  1. dat de reclame te maken betrekking heeft op gelijkaardige producten als degene die die klant in het verleden heeft afgenomen; 
  2. je in de mailing de mogelijkheid geeft om uit te schrijven
niet voor louter informatieve mails

Deze strenge regels gelden enkel voor reclame via mailings. Het is natuurlijk steeds toegestaan om mailings te sturen die louter informatief zijn, en geen promotie of reclame tot doel hebben. Bijvoorbeeld het versturen van een handleiding van een bepaald product opsturen aan de groep klanten die recent dat product hebben gekocht. 

Fout opgemerkt? Laatst gewijzigd: 03/10/2024

Je koopt e-mailadressen via direct marketing bureaus. Wat met de "toestemming" in het kader van GDPR?

Onder de GDPR staat en valt alles met het bewijsmateriaal dat je als ondernemer kan voorleggen wat de toestemming betreft. Kan je aantonen dat je rechtsgeldig toestemming verkreeg om de email-adressen te gebruiken, dan stel je jezelf veilig.

  1. Als je dus beroep doet op een externe firma voor de aankoop van mailadressen, met de bedoeling om hen reclame te sturen, zorg er dan voor dat deze firma de nodige toestemmingen heeft verzameld. Zet dat ook expliciet in de aankoopovereenkomst. 
  2. als je gegevens niet rechtstreeks van de betrokkene hebt gekregen, maar via een ander kanaal, zoals hier het geval is, moet je de betrokkene daar ook over inlichten (bij het eerste contact). Je moet dus bij het eerste contact duidelijk maken waar je de gegevens vandaan hebt, en wat jou privacybeleid is m.b.t. de gegevens (welke gegevens heb je gekocht, met welk doel, hoe lang je ze bijhoudt, welke rechten de betrokkene heeft, ...) 
  3. De betrokkene heeft ten alle tijde het recht om zijn toestemming in te trekken. Het intrekken van deze toestemming moet even eenvoudig zijn als het geven ervan.
  • Indien de oorspronkelijke opt-in overeenstemt met de nieuwe vereisten blijft de toestemming uit het verleden geldig.
  • Indien dit niet zo is, dan dient de toestemming opnieuw te worden bekomen (conform de nieuwe regels) alvorens de email-adressen verder mogen worden gebruikt.

Uitzonderlijk geen opt-in nodig: het hebben van een overeenkomst of de noodzaak om over de data te beschikken om een overeenkomst te kunnen uitvoeren (1); legitiem, vitaal of publiek belang (2); een wettelijke basis (3).

Specifiek: wat zijn de gevolgen van de GDPR bij aankoop van e-mail-adressen?

Opnieuw geldt de toestemmingsvereiste als absolute verplichting. Als er persoonsgegevens worden doorgegeven aan derden (vb. verkoop van e-mailadressen), moet de persoon hier altijd van op de hoogte zijn. Daarom is een dubbele opt-in vereist wanneer persoonsgegevens worden overgedragen. U moet m.a.w. tweemaal toestemming vragen aan de persoon.

Je hebt een enkele opt-in, waarbij iemand alleen het e-mailadres inschrijft en automatisch daarna de mails ontvangt. Bij een dubbele opt-in volgt daarna nóg een stap. Na inschrijving via de opt-in pagina, ontvang je een bevestigingsmail waarin de inschrijving nogmaals moet worden bevestigd. In deze bevestigingsmail dient dan duidelijk te worden gemaakt dat de gegevens (e-mailadressen) zullen worden overgedragen en ook waarvoor ze zullen worden gebruikt bij deze overdracht.

Hoe pak je dat best concreet aan?

Om zeker te zijn kan er best naar alle e-mailadressen een mail worden verstuurd met de vraag hun dubbele opt-in te bevestigen (zowel toestemming aan het DM bureau zelf als toestemming dat hun e-mailadres mogelijks aan jullie voor welbepaalde doeleinden wordt doorverkocht. Dus opname van een clausule waarin o.a. omschreven staat dat jullie deze adressen enkel zullen gebruiken voor doeleinden waarvoor toestemming werd gegeven en conform de privacy-reglementering,).

Wat met e-mailadressen die je in de toekomst wil aankopen via een direct marketing bureau? Hoe kan je in dat geval de opt-in aantonen?

Tweemaal toestemming vragen

Zoals hierboven reeds werd uitgelegd, dient er voor de toekomst tweemaal toestemming te worden gegeven door de betrokken personen (ondernemingen). De opt-in die aan het DM bureau wordt gegeven, geeft toestemming aan het DM bureau om ze te gebruiken voor welomschreven doeleinden. Wat betreft de verkoop dient een extra opt-in plaats te vinden. Uit deze tweede opt-in blijkt dan duidelijk dat er toestemming wordt gegeven om de email-adressen door te verkopen en dat er akkoord wordt gegaan met de (in de opt-in) duidelijk omschreven gebruiksdoeleinden.

Deze dubbele opt-in bewaar je best als bewijs. Hoe? Door te voldoen aan de documentatieplicht (inhoud toestemmingsverklaring, inhoud bevestigingsmail bewaren).

GDPR: documentatieplicht

De documentatieplicht draagt bij tot de bewijsvergaring van de nodige toestemmingen. U dient het volgende te bewaren:

  • Inhoud van de toestemmingsverklaring, registratietijd en IP-adres
  • Inhoud van de bevestigingsmail
  • Tijdstip waarop de toestemming bevestigd werd

Verder schrijft de GDPR ook een ‘Personal data audit’ voor. Dit kan enkel maar bijdragen tot het bewaren van een duidelijk controlespoor. Het vraagt om zorgvuldig in kaart brengen welke persoonsgegevens je verzamelt en waar je al deze gegevens bewaart. GDPR geldt niet enkel voor nieuwe data. Ook voor de data die je in het verleden hebt verzameld, moet je in orde zijn.

Fout opgemerkt? Laatst gewijzigd: 03/10/2024

Heb ik steeds toestemming nodig om cookies te plaatsen?

De Gegevensbeschermingsautoriteit legde onlangs een boete op van 15.000 euro aan een website, omdat haar cookiebeleid niet in orde was. Eén van de problemen was dat de website aan de bezoeker geen toestemming vroeg voor het plaatsen van die cookies. Moet er dan steeds zo’n toestemming zijn?

Wat zijn cookies?

Cookies zijn kleine bestandjes met informatie die door een website op de computer van de bezoeker worden geplaatst. Die bestandjes kunnen verschillende doeleinden hebben:

  • Technische cookies: dit zijn cookies die noodzakelijk zijn om jouw website goed te laten werken. Het gaat dan bijvoorbeeld om cookies die nodig zijn voor de grafische vormgeving van uw website, of cookies die nodig zijn om de gebruiker te laten inloggen;
  • Functionele cookies: dit zijn cookies die strikt genomen niet noodzakelijk zijn om de website naar behoren te laten werken, maar het bezoek wel heel wat aangenamer maken. Denk bijvoorbeeld aan cookies die de taalvoorkeur bijhouden, of er voor zorgen dat de bezoeker ingelogd blijft, of producten in een winkelmandje onthoudt;
  • Analytische cookies: dit zijn cookies die het surfgedrag van de bezoeker opvolgen om de website beheerder een beter beeld te geven over het gebruik van zijn website.
  • Advertentiecookies: cookies die geplaatst worden om gepersonaliseerde advertenties toe te laten.

Toestemming vereist?

Het principe is dat voor het plaatsen van cookies steeds toestemming vereist is. Het maakt daarbij niet uit of het cookie al dan niet persoonsgegevens bijhoudt. Dat wil dus ook zeggen dat de bezoeker toestemming moet geven om deze cookies te plaatsen vooraleer ze geplaats worden. De bezoeker louter informeren volstaat dus niet. Enkel voor cookies die strikt noodzakelijk zijn om de website goed te laten werken, of bepaalde functionele cookies is geen toestemming vereist.

Hoe toestemming vragen?

De toestemming moet best gevraagd worden via een pop-up of banner die de bezoeker te zien krijgt bij het eerste bezoek aan de website. Het volstaat bovendien niet om louter de keuze te voorzien tussen ‘cookies aanvaarden’ of ‘cookies weigeren’. In de pop-up moet een link zijn voorzien naar uw cookiebeleid, zodat de bezoeker precies kan nagaan welke cookies op uw website worden gebruikt, waarvoor ze worden gebruikt, en hoe lang ze worden bewaard. Vervolgens moet de bezoeker best ook een ‘gedifferentieerde’ toestemming kunnen geven en dus bijvoorbeeld wel toestemming kunnen geven voor functionele cookies, maar niet voor analytische of andere cookies.

Checklist

De Gegevensbeschermingsautoriteit heeft een checklist ontwikkeld voor het correct gebruik van cookies: 

Download de checklist

Fout opgemerkt? Laatst gewijzigd: 03/10/2024

Mag je klanten vragen hun identiteitskaart te tonen?

Je mag jouw klant alleen vragen een identiteitskaart te tonen als dat noodzakelijk is. Bovendien mag je dit enkel vragen als je daar wettelijk toe verplicht bent, of als de klant daar toestemming voor geeft.  Die toestemming moet vrij zijn, wat betekent dat  de klant de dienst ook moet kunnen afnemen, als hij weigert zijn identiteitskaart te tonen

Let op: je kan de klant nooit dwingen zijn of haar identiteitskaart te tonen. 

De noodzaak om de klant te identificeren houdt niet noodzakelijk in dat je een kopie van zijn of haar identiteitskaart mag nemen of deze elektronisch mag lezen. Waar een eenvoudige visuele controle van zijn of haar identiteitskaart kan volstaan, moet deze weg worden gevolgd.

Fout opgemerkt? Laatst gewijzigd: 03/10/2024

Bewakingscamera's, wat zijn de regels waaraan je je moet houden?

Welke regelgeving is van toepassing?

De Wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera's ("Camerawet") is van toepassing van zodra enkele voorwaarden zijn vervuld:

  • Indien een bewakingscamera wordt geplaatst en gebruikt die een opdracht van bewaking en toezicht uitoefent met het doel om: 
    • misdrijven tegen personen of goederen te voorkomen, vast te stellen of op te sporen; 
    • overlast te voorkomen, vast te stellen of op te sporen;
    • de naleving van gemeentelijke reglementen te controleren of; 
    • de openbare orde te handhaven en dat in het kader van deze doeleinden beelden verwerkt.

In de meeste gevallen zal je dus de Camerawet moeten toepassen. Voor de privacy-gerelateerde aspecten zal je ook rekening moeten houden met de GDPR (Algemene Verordening Gegevensbescherming).

Welke procedure moet je volgen?

Een handelszaak wordt door de Camerawet beschouwd als een "een voor het publiek toegankelijke besloten plaats". Wanneer je hier een camera wil plaatsen, moet een specifieke procedure worden gevolgd:

  • Jouw verwerking moet voldoen aan een welbepaald en legitiem doeleinde. In dit geval is dat het gebruik van bewakingscamera’s voor bewaking en toezicht van een besloten plaats die voor het publiek toegankelijk is, namelijk een handelszaak. In principe zal je aan deze voorwaarde voldoen.
  • Bovendien moet jouw verwerking proportioneel zijn. Dit houdt in dat er een evenwicht moet bestaan tussen enerzijds jouw belang als verantwoordelijke voor de verwerking, zijnde de handelaar, en anderzijds het recht op de bescherming van het privéleven van de gefilmde persoon, zijnde jouw klanten. De verwerking van de beelden moet passend en noodzakelijk zijn, wat er op neerkomt dat je moet nagaan of er geen andere maatregelen zijn die minder ingrijpen in het privéleven van de gefilmde persoon. In principe zal je ook aan deze voorwaarde voldoen.
  • Er mogen geen overbodige beelden verwerkt worden en de camera mag in beginsel niet gericht worden op een plaats waarvoor je niet bevoegd bent. Het is dus niet toegelaten om ter beveiliging van je winkel de openbare weg te filmen!

Het plaatsen van een camera in je handelszaak gaat gepaard met drie belangrijke verplichtingen

  • Je moet vooraf een aangifte doen bij de politie. Dat moet je doen via de online aangiftetoepassing
  • Om je klant te informeren dat je een bewakingscamera hebt geplaatst, moet je voorzien in een specifiek pictogram. Het pictogram kan je hier terugvinden. 
  • Je moet ook een register bijhouden met alle beeldverwerkingsactiviteiten die je uitvoert. Dit register moet je op verzoek van de gegevensbeschermingsautoriteit (de vroegere privacycommissie) en de politiediensten steeds ter beschikking kunnen stellen. Je kan meer informatie vinden op de website van de Algemene Directie Veiligheid en Preventie.

Let op!

  • Als je vroeger al een bewakingscamera aangegeven hebt via het elektronisch loket van de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie), dan zal je dat nog eens opnieuw moeten doen via www.aangiftecamera.be. Je had tot uiterlijk 31 december 2021 om dit in orde te brengen.

Zichtbaarheid camerabeelden in real time toegelaten

In de nabijheid van een camera mag je een scherm plaatsen waar de gefilmde beelden in real time worden getoond. Dit moet (potentiële) winkeldieven afschrikken en een sterker effect genereren dan enkel het pictogram met het bewakingswaarschuwingsignaal. 

Mag je een verborgen camera plaatsen?

De Camerawet bepaalt dat elk heimelijk gebruik van bewakingscamera’s verboden is. In principe is de toestemming van de gefilmde persoon vereist. Het betreden van een plaats waar een pictogram hangt, wordt beschouwd als een impliciete toestemming. Het is dus heel belangrijk dat je het pictogram goed zichtbaar plaatst en op een locatie die de toekomstige klant of derde ziet voordat hij jouw handelszaak betreedt.

Mag je camerabeelden van winkeldieven verspreiden?

De wet is duidelijk: het mag niet! Het afficheren van de naam en/of foto van een persoon mag niet gebeuren zonder de uitdrukkelijke toestemming van die persoon. Het recht op privacy heeft hier voorrang, ook in geval van 'vermoedelijke' winkeldiefstal. Het is de politie - en enkel de politie - die tegen de vermoedelijke daders mag optreden.

Ook camerabeelden met daarop een winkeldief mogen niet verspreid worden. Het is aangewezen om deze beelden aan de politie te bezorgen. Zij zullen dan het nodige doen.

Meer informatie kan je vinden op de website van Algemene Directie Preventie en Veiligheid (FOD Binnenlandse Zaken).
OPGELET

Dit geldt voor de camera’s die je plaatst in jouw zaak ter voorkoming van diefstal.

Voor de camera’s opgesteld ten aanzien van je werknemers met het oog op “veiligheid en gezondheid, bescherming van de goederen van de onderneming, controle van het productieproces en controle van de arbeid van de werknemer”, is de cao nr. 68 van toepassing. Indien deze camera's zowel geplaatst zijn ter voorkoming van diefstal als ten aanzien van je werknemers, zijn zowel de Camerawet als cao nr. 68 van toepassing. Meer info vind je hier.

Fout opgemerkt? Laatst gewijzigd: 03/09/2024

Privacy in de kinderopvang

GDPR staat voor General Data Protection Regulation. In het Nederlands spreekt men van AVG (Algemene Verordening Gegevensbescherming). Op 25 mei 2018 trad deze Europese Wetgeving in voege.

De nieuwe regels hebben een aantal gevolgen voor de omgang met persoonsgegevens, maar scheppen ook kansen voor uw organisatie. Vanuit een samenwerking tussen Kind en Gezin, Infano vzw, Kommagroep, Landelijke Kinderopvang, Partena, SOM, Socialistische Mutualiteiten, UnieKO, Vlaams Welzijnsverbond, VVSG, 3Wplus en UNIZO werden enkele infosessies georganiseerd. Om iedereen toegang te geven tot dezelfde informatie werd deze sessie in samenwerking nu ook omgezet in een webinar. Er werden gezamenlijk verschillende tools ontwikkeld, specifiek voor de kinderopvang, om op een correcte manier aan de slag te gaan. Deze tools worden eveneens toegelicht in het webinar.

Download de presentatie van het webinar

Meer weten over GDPR? In het adviesartikel Privacy en GDPR kan je extra informatie terugvinden. 

Webinar nieuwe privacyregels (GDPR) in de kinderopvang

Fout opgemerkt? Laatst gewijzigd: 03/06/2024

Tools voor de kinderopvang

We helpen je graag op weg in de omgang met de nieuwe privacyregels. Daarom werden er samen met onze partners enkele tools ontwikkeld, specifiek voor de kinderopvang. 

  • Privacyverklaring: Met dit document informeer je ouders over de privacygevoelige informatie die de opvang verzamelt. Dit document bevat de informatie over welke persoonsgegevens nodig zijn, waarom en wat ermee gebeurt. Enkel de gegevens die nodig zijn voor de werking worden verzameld en verwerkt.
  • Verwerkingsregister: Dit is een inventaris van alle verwerkingen van persoonsgegevens. Dit is de basis om te reflecteren of je deze gegevens echt nodig hebt. Het verwerkingsregister vormt eveneens de basis om gegevens op te zoeken indien iemand vraag voor een inzage. 
  • Toestemmingsformulier voor beeldmateriaal: Met dit formulier vraag je aan ouders schriftelijke toestemming voor het maken van beeldmateriaal (foto's, filmopnames). Het is belangrijk dat wordt opgenomen wat het doel is van dit materiaal, alsook wat met het materiaal zal gebeuren en hoe lang dit bewaard zal worden. 
  • Verwerkingsovereenkomst: Deze overeenkomst sluit je af tussen de verantwoordelijke van de verwerking en de verwerker (bijvoorbeeld een IT-bedrijf, je sociaal secretariaat of je boekhouder). 

Je kan alle tools terugvinden op de website van Kind en Gezin.

Fout opgemerkt? Laatst gewijzigd: 03/06/2024

Downloads

Nuttig voor jou