Wat u moet weten.

De GDPR moedigt sectorfederaties aan om gedragscodes op te stellen. Deze gedragscodes zetten de (algemene) regels van de verordening om in concrete spelregels die rekening houden met de specifieke verwerkingsactiviteiten binnen de sector en de behoeften van KMO’s. Een dergelijke code kan dus heel wat tijd en kosten besparen voor de leden. Wanneer deze gedragscodes voldoen aan artikel 40 GDPR, kunnen zij worden goedgekeurd door de betrokken gegevensbeschermingsautoriteit. Op die manier worden zij bindend voor de ondernemingen die er zich bij aansluiten. Ook dat biedt belangrijke voordelen onder de GDPR.

Momenteel blijft het nog tamelijk stil rond (zowel de bindende als vrijwillige) gedragscodes. Voor de bindende gedragscodes verbaast dat niet helemaal. De regels waaraan deze gedragscodes moeten voldoen, maken de drempel voor vele federaties wellicht hoog. De European Data Protection Board werkt daarom aan richtsnoeren. Dit belet evenwel niet dat sectorfederaties nu al hun leden heel concreet kunnen helpen.

Wat u(w sectorfederatie) moet doen.

Vele sectorfederaties zijn al (voorzichtig) van start gegaan met het aanbieden van richtsnoeren en modellen voor hun leden. Toch merken we dat heel wat ondernemingen, in het bijzonder KMO’s, ook na 25 mei 2018 nog steeds op eigen houtje trachten de verplichtingen van de GDPR om te zetten. Dat is nochtans niet de meest tijds- en kostenefficiënte manier.

Waarbij kunnen sectorfederaties uw onderneming dan wel concreet helpen? Veel verwerkingsactiviteiten zijn min of meer hetzelfde voor elke onderneming. Verder kent elke sector zo zijn eigen specifieke verwerkingsactiviteiten. Denk aan het beheer van contactpersonen bij leveranciers en personeelsadministratie, maar ook bijvoorbeeld het gebruik van gevoelige data door bank- en verzekeringsmakelaars (vaak eenmanszaken) voor de uitbetaling van een schadevergoeding na een ongeval.

Algemene richtsnoeren en modellen die een sectorfederatie ter beschikking stelt zijn goed, maar concrete analyses en reeds ingevulde templates zijn beter. Bijvoorbeeld een reeds ingevuld register van verwerkingsactiviteiten, de analyse voor de aanstelling van een Data Protection Officer (“DPO”), een lijst met concrete beveiligingsmaatregelen (zoals welke data kunnen worden gepseudonimiseerd en hoe), enz. Natuurlijk blijft het de verantwoordelijkheid van elke onderneming binnen de federatie om na te gaan of zij afwijkt van de “standaard” verwerkingsactiviteit. Een dergelijke check zal in de meeste gevallen evenwel veel minder tijd en kosten vergen dan de oefening helemaal van nul zelf te starten.

Inmiddels werd reeds heel wat ervaring opgedaan op vlak van GDPR. Contacteer uw sectorfederatie en vraag hen om die ervaring concreet te delen met hun leden. Spoor verder uw sectorfederatie aan om een gedragscode op te stellen en deze te laten goedkeuren door de bevoegde gegevensbeschermingsautoriteit, voor zover dat nuttig is voor uw sector (een vraag die u ook aan uw federatie kan stellen).