Skip to main content
  • Nieuws
  • Ondernemers & Co: Marlex - Overzicht van de drie grootste knelpunten in GDPR-overeenkomsten in kmo’s met praktische tips

Ondernemers & Co: Marlex - Overzicht van de drie grootste knelpunten in GDPR-overeenkomsten in kmo’s met praktische tips

  • 11/02/2022

In haar Strategische Verklaring voor 2021-2025 heeft de Gegevensbeschermingsautoriteit (GBA) uiteengezet dat kmo’s tot haar ’top 5’ van prioriteiten behoren. Kmo’s hebben meestal geen juridisch departement dat hen kan helpen om de gevolgen van GDPR op hun activiteiten te begrijpen. De implementatie van GDPR is heel complex. Daarom hieronder een korte checklist van de belangrijkste knelpunten voor managers.

Knelpunt 1: beperking op aansprakelijkheid bij een datalek

Zelfs indien uw kmo beroep doet op een jurist, wordt het economisch risico inzake de aansprakelijkheid vaak door de manager genomen. We hebben een aantal praktische tips ontwikkeld met en voor de business.

Wat kan u doen als manager?

Indien u als manager eventueel dient te beslissen over de aanvaarding van een aansprakelijkheidsbeperking in het kader van GDPR, kunnen onder meer de onderstaande richtlijnen helpen:

  • Geografische reikwijdte van het contract: hoe meer landen betrokken zijn en hoe meer transfers van persoonlijke gegevens er naar het buitenland zijn, hoe groter het risico en hoe lager de aansprakelijkheidsbeperking.
  • Waarde van het contract: hoe hoger de waarde van het contract (i.e. de afgesproken prijs), hoe lager de beperking op de aansprakelijkheid mag zijn.
  • Het soort persoonlijke gegevens die worden verwerkt: indien er enkel professionele contactgegevens worden verwerkt, is het risico lager dan indien er gevoelige persoonlijke gegevens (bijv. medische informatie) wordt verwerkt.
  • De duurtijd van het contract: hoe langer het contract duurt, des te hoger het risico.
  • Varia: aantal betrokken datasubjecten, mogelijke reputatieschade, de grootte van de onderneming en de graad van specialisatie, de dekking door de verzekering, andere operationele elementen die kunnen doorwegen op het risico.

Indien er wordt verwezen naar eventuele algemene voorwaarden, ga dan zeker na of er in deze voorwaarden niet wordt voorzien in een beperking voor aansprakelijkheid “voor verlies van documenten/gegevens”. Die beperking van aansprakelijkheid dient te worden uitgesloten.

Knelpunt 2: transfer van persoonlijke gegevens naar het buitenland

Vaak nemen partijen op in een contract dat de persoonlijke gegevens naar het buitenland kunnen worden getransfereerd, extern of intragroup wanneer de contractpartij deel uitmaakt van een groep. Het kan bijvoorbeeld gaan om transfers naar een dochterentiteit of een onderaannemer. In de praktijk wordt vaak over dergelijke clausules gelezen.

Wat kan u doen als manager?

  • Vraag aan uw medecontractant een lijst van alle betrokken entiteiten waarnaar de persoonlijke gegevens worden getransfereerd.
    • » Indien er een entiteit uit de Verenigde Staten betrokken is, controleer dan goed of er geen verwijzing is naar een zgn. “US Privacy Shield”. Sedert Schrems II is dit niet meer geldig.
  • Daarnaast is het ook aangewezen dat de betrokken medecontractant jaarlijks, op een vast tijdstip, een upto- date overzicht geeft van de externe of intragroup partijen waarnaar de persoonlijke gegevens worden getransfereerd.

Knelpunt 3: het vermelden van het type persoonlijke gegevens en het verwerkingsdoel in de GDPR-overeenkomst

Zowel het type persoonlijke gegevens, als het doel waarvoor deze worden verwerkt, zijn essentiële gegevens in een DPA (i.e. “Data Processing Agreement”).

Wat kan u doen als manager?

  • Overloop aandachtig de lijst van de persoonsgegevens die zullen worden verwerkt.
  • Hetzelfde geldt inzake het verwerkingsdoel. Vaak wordt de verwerking van persoonlijke gegevens voor marketingdoeleinden vermeld. Indien dit niet wenselijk is, dient u dit te heronderhandelen.

Liesbet Demasure, advocaat bij Marlex

Marlex

Vraag het @ Voka

Een prangende vraag? Wij antwoorden binnen de 2 werkdagen!

Stel hier jouw vraag

Artikel uit publicatie