GDPR / FAQ

Een verwerkingsverantwoordelijke is de entiteit die het doel en middelen voor de verwerking van persoonsgegevens bepaalt.  Onze GDPR-advocaten bieden juridische ondersteuning bij het vaststellen en kwalificeren van verwerkingsverantwoordelijken.

Een verwerker is een externe partij die persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt. Onze GDPR-advocaten stellen passende verwerkingsovereenkomsten op die binnen het handelsverkeer onmiddellijk inzetbaar zijn.

Een Privacy Policy is een document dat beschrijft hoe een organisatie persoonsgegevens verzamelt, gebruikt, deelt en beschermt. Onze GDPR-advocaten bieden juridische ondersteuning bij het opstellen van een GDPR-conforme Privacy Policy, waarbij we ervoor zorgen dat alle vereiste informatie helder en correct wordt gecommuniceerd.

Een gegevensverwerkingsregister is een overzicht, een register, van alle gegevensverwerkingen die een organisatie uitvoert. iLAW assisteert haar cliënten bij de opmaak van dit register, waarbij onze GDPR-advocaten zorgen voor een overzicht van de gegevensstromen, zodanig dat een volledig overzicht wordt geboden dat voldoet aan de GDPR-voorschriften.

Een datalek is een incident waarbij persoonsgegevens mogelijk verloren gaan, gestolen worden of ongeautoriseerd worden blootgesteld. Ons advocatenkantoor biedt juridische bijstand bij het omgaan met datalekken, waaronder de meldingsplicht aan toezichthoudende autoriteiten en communicatie met betrokkenen.

Twee begrippen zijn hierbij belangrijk: Privacy by Design & Privacy by Default

De bescherming van de privacy begint reeds bij de ontwikkeling van nieuwe producten en diensten. Het uitgangspunt in de ontwikkelingsfase is de minimale verwerking van persoonsgegevens (Privacy by Design).

Daarnaast moet voorzien worden dat de standaardinstellingen van nieuwe producten of diensten privacy compliant zijn. Dit door een hoog beveiligingsniveau te voorzien. Enkel de gebruiker kan zijn beveiligingsniveau doen dalen (Privacy by Default).

Onze GDPR-advocaten staan u bij vanaf de ontwikkeling van uw product en/of dienst tot de distributie zodanig dat u in iedere ontwikkelingsfase voldoet aan de GDPR-wetgeving.

Verwerkt uw onderneming met de regelmaat van de klok persoonsgegevens, waarbij een stelselmatige observatie op grote schaal van de betrokkenen nodig is of bent u een overheid? Dan stelt u een Data Protection Officer aan!

Een DPO kan zowel een eigen medewerker of een externe persoon zijn, die een doorgedreven juridische kennis heeft van de GDPR en het gegevensbeschermingsrecht, met wie uw onderneming een overeenkomst afsluit. Als privacy adviseur moet deze ervoor zorgen dat uw organisatie voldoet aan de GDPR.

Onze GDPR-advocaten kunnen voor uw organisatie optreden als DPO.

De melding van een datalek aan de Gegevensbeschermingsautoriteit of andere toezichthoudende autoriteit is niet altijd vereist. Volgens de GDPR moet een datalek worden gemeld aan de GBA wanneer het waarschijnlijk is dat dit leidt tot een risico voor de rechten en vrijheden van individuen.

Daarnaast moet een onderneming, of de organisatie die verantwoordelijk is voor de gegevensverwerking, ook de betrokkenen op de hoogte stellen van het datalek, doch enkel wanneer het waarschijnlijk is dat dit een hoog risico inhoudt voor hun rechten en vrijheden.

Het is belangrijk om te begrijpen dat niet alle datalekken gemeld hoeven te worden. Aangezien de meldplicht enkel van toepassing is op datalekken die leiden tot een risico voor de rechten en vrijheden van individuen, moet er steeds een interne beoordeling worden uitgevoerd om vast te stellen of een melding al dan niet vereist is.

Onze GDPR-advocaten bieden bijstand bij de interne beoordeling van een datalek en of deze al dan niet gemeld dient te worden. Indien nodig vertegenwoordigen wij u ten aanzien van de GBA of bij communicatie naar de betrokkene.

“The right to be forgotten” is een recht dat in de huidige privacywetgeving terug te vinden is, ingevolge het Google/Spain arrest van het Europees Hof van Justitie.

Onder de GDPR wordt dit recht verder uitgewerkt en geformaliseerd. In een aantal gevallen hebben personen het recht om vergeten te worden. Uw organisatie wordt na verzoek van de betrokkene om vergeten te worden, verplicht om deze gegevens binnen 1 maand te wissen.

Onze advocaten stellen de nodige contractuele documenten op die zorgen voor de opvolging van een wissingsverzoek van de betrokkene. Immers zal u ook derde partijen aan wie u mogelijk persoonsgegevens hebt doorgegeven, hiervan op de hoogte moeten stellen. Een duidelijk overzicht van de gegevensstromen binnen uw organisatie is aldus steeds aangewezen.

Dataportabiliteit is een nieuw en vooruitstrevend recht opgenomen in de GDPR.

Dit houdt het recht in van de persoon, wiens gegevens verwerkt worden, om diens gegevens op te vragen met al doel het overdragen ervan aan een andere onderneming. Dit gebeurt dan ook in een gestructureerde, gangbare en machine leesbare vorm. Een betrokkene kan zelfs verzoeken dat de gegevens rechtstreeks worden doorgezonden naar een andere onderneming. Zo wordt het gemakkelijker om over te stappen van de ene dienstverlener naar de andere. Een bekend voorbeeld hiervan is uw persoonsgegevens overdragen van de ene huisarts, naar de andere.

Door een gedetailleerde analyse van de verwerkingsprocessen en de stand van de techniek binnen uw organisatie, kunnen onze GDPR-advocaten samen met u een op maat gemaakt beleid ontwikkelen. Dit beleid stelt u in staat om de rechten van betrokkenen onder de GDPR tijdig en volledig na te leven, zodat uw organisatie voldoet aan alle wettelijke verplichtingen en risico’s worden geminimaliseerd.