Bescherming van persoonsgegevens: verplichtingen van ondernemingen in België

Het juridisch kader in België

De Algemene Verordening Gegevensbescherming (AVG), van kracht sinds 25 mei 2018, is rechtstreeks van toepassing in België. Ze wordt aangevuld door de Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. De Gegevensbeschermingsautoriteit (GBA) is het Belgisch toezichtsorgaan.

De fundamentele beginselen van de AVG

• Rechtmatigheid, behoorlijkheid en transparantie: gegevens moeten op rechtmatige en transparante wijze worden verwerkt
• Doelbinding: verzameling voor welbepaalde en gerechtvaardigde doeleinden
• Dataminimalisatie: alleen verzamelen wat noodzakelijk is
• Juistheid: gegevens up-to-date houden
• Opslagbeperking: niet langer bewaren dan nodig
• Integriteit en vertrouwelijkheid: de veiligheid van gegevens waarborgen

De belangrijkste verplichtingen van ondernemingen

1. Register van verwerkingsactiviteiten

Elke onderneming met meer dan 250 werknemers moet een register van verwerkingsactiviteiten bijhouden. In de praktijk geldt deze verplichting voor vrijwel alle ondernemingen die regelmatig persoonsgegevens verwerken. Het register moet bevatten:

• De doeleinden van de verwerking
• De categorieën van gegevens en betrokken personen
• De ontvangers van de gegevens
• Doorgifte buiten de EU
• De bewaartermijnen
• De beveiligingsmaatregelen

2. Gegevensbeschermingseffectbeoordeling (DPIA)

Een gegevensbeschermingseffectbeoordeling is verplicht wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen:

• Profilering op grote schaal
• Stelselmatige monitoring van een publiek toegankelijke ruimte
• Grootschalige verwerking van gevoelige gegevens

3. Aanstelling van een DPO

Een functionaris voor gegevensbescherming (DPO) moet worden aangesteld wanneer:

• De verwerking wordt uitgevoerd door een overheid of publiek orgaan
• De kernactiviteiten een regelmatige en stelselmatige observatie op grote schaal inhouden
• De kernactiviteiten een grootschalige verwerking van gevoelige gegevens inhouden

4. Informatie aan betrokkenen

Ondernemingen moeten betrokkenen op duidelijke en transparante wijze informeren over:

• De identiteit van de verwerkingsverantwoordelijke
• De doeleinden en de rechtsgrond van de verwerking
• De rechten van de betrokkenen (inzage, rectificatie, wissing, overdraagbaarheid, bezwaar)
• De bewaartermijn
• Eventuele doorgifte buiten de EU

5. Melding van inbreuken

Bij een inbreuk in verband met persoonsgegevens moet de onderneming:

• De GBA binnen 72 uur op de hoogte brengen als de inbreuk waarschijnlijk een risico inhoudt
• De betrokkenen informeren als het risico hoog is
• Elke inbreuk documenteren in een intern register

Sancties van de GBA

De Belgische Gegevensbeschermingsautoriteit kan belangrijke sancties opleggen:

• Administratieve geldboeten: tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet
• Waarschuwingen en berispingen
• Bevelen tot naleving
• Tijdelijk of definitief verbod op verwerking

In 2025 heeft de GBA meerdere aanzienlijke boetes opgelegd aan Belgische ondernemingen, met name in de sectoren direct marketing en videobewaking.

Goede praktijken

• Regelmatig een AVG-conformiteitsaudit uitvoeren
• Personeel opleiden in gegevensbescherming
• Procedures voor het beheer van de rechten van betrokkenen invoeren
• Gegevens beveiligen door versleuteling en toegangscontrole
• Alle beslissingen met betrekking tot gegevensbescherming documenteren

Conclusie

Wilt u uw onderneming in overeenstemming brengen met de AVG? LegalBelgique voert uw conformiteitsaudit uit, stelt uw privacybeleid op en begeleidt u bij de implementatie van de nodige maatregelen. Bescherm uw gegevens en die van uw klanten.