Hoe bedrijven omspringen met persoonsgegevens verandert radicaal. Op 25 mei 2018 treedt immers de GDPR in werking. Dat is de regulering waarmee Europa de gegevens van haar burgers beter gaat beschermen. Bewaart en/of bewerkt uw onderneming zulke data? Dan zet u maar beter de nodige stappen. Wie straks niet compliant is, riskeert monsterboetes.

Elk bedrijf dat persoonsgegevens bewaart (data controller) en/of bewerkt (data processor), staat voor forse uitdagingen. Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR) van kracht – ook wel: de Algemene Verordening Gegevensbescherming (AVG). In feite gaat het om een herziening van een inmiddels verouderde Europese wet uit 1995: de Data Protection Directive. Interpretatieverschillen tussen lidstaten zorgden voor fragmentatie en onduidelijkheid. De GDPR maakt hier voorgoed komaf mee. Bovendien is deze set van strenge regels, die ingegeven werd door de recente digitale ontwikkeling naar the internet of things, afgestemd op hedendaagse fenomenen. Denk maar aan cloudservices, sociale media en de onwaarschijnlijke datatsunami die we vandaag kennen.

Transparantie komt voorop. Dat betekent dat elk bedrijf helder en begrijpelijk moet informeren over hoe de persoonsgegevens verzameld en verwerkt worden. Gebruiksvoorwaarden die voor interpretatie vatbaar zijn en dubbelzinnige privacybescherming worden niet langer getolereerd. Elke persoon moet begrijpen waarvoor zijn gegevens gebruikt worden. Weet ook dat u als bedrijf uitsluitend data mag verzamelen die cruciaal is voor uw werking. Wilt uw bedrijf data van personen verzamelen, dan zal het voortaan expliciet toestemming moeten vragen of een gerechtvaardigd belang moeten aantonen. De toestemming moet bewust verleend worden; geen vooraf aangevinkt vakje of een andere vorm van ‘niet-handelen’. Instemmen met het gebruik van cookies, zoals dat vandaag gebeurt, zal niet langer volstaan.

Verplicht melden van datalekken

Datalekken moeten strikter opgevolgd en gemeld worden. De GDPR schrijft voor dat ondernemingen verplicht zijn om datalekken binnen de 72 uur te melden, tenzij er geen gevaar is voor de verzamelde persoonsgegevens. In Nederland is die verplichting al langer van kracht, maar in ons land was dat nog niet het geval.

Wie systematisch en grootschalig data verwerkt, is verplicht een data protection officer (DPO) aan te stellen. Hij ziet erop toe dat de onderneming steeds in regel is met de GDPR. Dat is geen geringe verantwoordelijkheid. Accountability is dan ook een belangrijk thema van de GDPR. Elke onderneming die data verzamelt, moet kunnen aantonen dat het voldoet aan deze nieuwe regulering. In de praktijk betekent dit dat ze een ‘data inventory’ moet hebben en Privacy Impact Assessments (PIA’s) moet uitvoeren voor verwerkingen met een hoog risico.

Reikwijdte

De reikwijdte van de GDPR is enorm. Elke organisatie die gevestigd is in de EU, of data verzamelt en/of bewerkt van EU-burgers, valt onder deze regulering. Ontelbare bedrijven die tot voor kort weinig beperkingen kenden in hun omgang met persoonsgegevens zullen heel wat restricties ervaren. Ook in het soort data dat ze mogen verzamelen en bewerken.

In ons land zal de Belgische Gegevensbeschermingsautoriteit optreden als toezichthouder. Deze vervangt vanaf 25 mei 2018 de Belgische privacycommissie. Het niet-naleven wordt gesanctioneerd met administratieve geldboetes en die kunnen behoorlijk oplopen. In de lichtste categorie kan die al tot 10 miljoen euro bedragen, of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien die hoger is dan 10 miljoen euro. De boetes moeten namelijk afschrikken en tegelijk voorkomen dat kapitaalkrachtige ondernemingen inbreuken kunnen ‘afkopen’. Al zal steeds rekening worden gehouden met de aard, de ernst en de duur van de overtreding. Ook wordt gekeken naar de stappen die de overtreder al dan niet zette om compliant te zijn met de GDPR.

Bijkomende rechten voor personen

Voortaan heeft elke persoon het recht om vergeten te worden. In dat geval is uw onderneming verplicht om alle data van deze persoon te verwijderen. Ook heeft hij het recht om zijn persoonsgegevens bij u op te vragen en door te spelen aan andere partijen. Bijvoorbeeld wanneer die verandert van energieleverancier of telecomprovider. Dat wordt aangeduid met de term ‘data portability’.

Deze regulering breekt een lans voor de bescherming van de persoonlijke data van binnen de EU. Het wordt makkelijker om claims neer te leggen bij organisaties die hun rechten niet respecteren. Bovendien blijven de verwerkers van persoonsgegevens (data processors) niet langer buiten schot en dat is nieuw. Voor deze bedrijven wordt het minder evident om met bijzondere persoonsgegevens aan de slag te gaan.

Bron: Graydon.be