Blijf op de hoogte
Schrijf je in op de nieuwsbrief om een overzicht te ontvangen van de belangrijkste nieuwsberichten en activiteiten.
U heeft er wellicht al van gehoord: op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking (beter gekend als General Data Protection Regulation of GDPR). De verordening bevat strikte regels over de wijze waarop omgegaan moet worden met persoonsgegevens. De gegevensbeschermingsautoriteit (de huidige Privacycommissie) krijgt de mogelijkheid om sanctionerend op te treden en zelfs (hoge) boetes op te leggen.
De GDPR heeft ook gevolgen voor de architect en de beroepsvereniging. Elke architect verwerkt persoonsgegevens van klanten, leveranciers, aannemers, eventuele personeelsleden, etc. De beroepsvereniging zelf verwerkt dan weer de gegevens van de architecten. De term “persoonsgegeven” is immers zeer ruim: elke informatie op basis waarvan een persoon geïndividualiseerd kan worden, zoals naam, adres, telefoonnummer, e-mail adres, maar ook foto’s, IP-adressen, etc.
De basisprincipes van de huidige Belgische privacy reglementering blijven behouden, maar de GDPR bevat ook een aantal nieuwigheden. Zo worden striktere voorwaarden gesteld aan de toestemming die een persoon kan geven om zijn persoonsgegevens te verwerken, worden de rechten van de betrokkenen uitgebreid en gelden er ook meer uitgebreide verplichtingen voor verwerkers. Sommige ondernemingen moeten een “data protection officer” aanstellen, maar dit is in principe niet van toepassing op de architect of de beroepsvereniging.
Voor de individuele architect of het architectenbureau brengt de invoering van de GDPR een aantal zeer concrete verplichtingen met zich mee. Zo moeten de verschillende verwerkingsactiviteiten geregistreerd worden in een verwerkingsregister, dat u op papier of elektronisch kan bijhouden en waarin u in detail moet uiteenzetten op welke wijze u de persoonsgegevens verwerkt, voor welke doeleinden, gedurende welke bewaartermijn en aan wie u de gegevens eventueel doorstuurt. De gegevensbeschermingsautoriteit kan dit register te allen tijde opvragen.
Daarnaast moet u ervoor zorgen dat iedereen van wie u persoonsgegevens verwerkt hierover de nodige informatie ontvangt. Dit kan in een zogenaamde “Data protection notice”, waarnaar u in contracten met opdrachtgevers en (onder)aannemers kan verwijzen. Voor werknemers heeft u best een afzonderlijke policy. Ook dient u na te denken over de procedure in geval van een datalek (vb: hacking, maar ook het verlies van een laptop of usb-stick met vertrouwelijke informatie). De GDPR bevat verder specifieke verplichte vermeldingen voor overeenkomsten met verwerkers van persoonsgegevens (vb: sociaal secretariaat, IT-leverancier). U doet er dus goed aan deze overeenkomsten na te kijken en desgevallend aan te passen.
Naast een voornamelijk administratief luik, waarvan wij adviseren dat u dit in de mate van het mogelijke probeert rond te krijgen tegen de inwerkingtreding van de GDPR op 25 mei 2018, heeft de GDPR ook een aantal operationele gevolgen. Uw medewerkers moeten weten hoe zij vertrouwelijk moeten omspringen met persoonsgegevens en uw lokalen en IT-systemen moeten zo goed mogelijk beveiligd worden om verlies van of onrechtmatige toegang tot persoonsgegevens te vermijden.
Ook de beroepsvereniging zal deze GDPR-oefening moeten verrichten met betrekking tot de persoonsgegevens die zij verzamelt. Daarnaast kan zij eventueel denken aan het opstellen van een “gedragscode”. Aangezien vele verplichtingen uit de GDPR vrij vaag zijn, is immers voorzien in de mogelijkheid voor verenigingen die een bepaalde groep van verwerkingsverantwoordelijken vertegenwoordigen om de praktische toepassing van de GDPR binnen een bepaalde sector te verduidelijken.
Bijdrage door: Sara Cockx en Dave Mertens - Schoups Advocaten