Volg Bouwkroniek

Abonneer u
Aanmelden

Volg Bouwkroniek Bouwkroniek

Nieuwe Europese privacywet vanaf 25 mei

Nieuwe Europese privacywet vanaf 25 mei

© Sergey Nivens - stock.adobe.com

Hopelijk zijn er weinig of geen bedrijven die nog nooit hebben gehoord van GDPR. Vanaf 25 mei zullen deze vier letters voor heel wat ondernemingen immers behoorlijk verregaande gevolgen hebben.

Het gaat om de nieuwe Europese privacywet die ‘General Data Protection Regulation’, afgekort GDPR, werd gedoopt. In het Nederlands heet dat de Algemene Verordening Gegevensbescherming (AVG). In essentie is het een flink bijgewerkte versie van de verouderde Europese wetgeving die al dateert van 1995. Binnenkort zal in heel Europa inzake privacy nog één legaal kader gelden waaraan de verschillende landen moeten voldoen. Alle overheidsinstanties en alle bedrijven die in Europa persoonsgegevens verwerken, vallen onder de GDPR.

De GDPR werd reeds eind 2015 goedgekeurd door Europa, maar er werd een overgangstermijn ingelast tot 25 mei 2018 om de verschillende landen de kans te geven zich voor te bereiden op de nieuwe wetgeving. Staatssecretaris voor Privacy Philippe De Backer, die de voorbije maanden de Belgische versie van de wet voorbereidde, noemt de nieuwe wet een kans voor ondernemingen om hun databeheer te professionaliseren en het vertrouwen van de consumenten in het bedrijf te versterken. “In de digitale economie overleven immers alleen die bedrijven die het vertrouwen van hun klanten niet beschadigen”, zegt De Backer.

De GDPR moet de privacywetten in de EU-landen harmoniseren en bepaalt hoe ondernemingen, overheden en organisaties moeten omgaan met persoonsgegevens. Concreet zal deze nieuwe Europese wetgeving waken over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Ondernemingen moeten vanaf 25 mei kunnen aantonen welke persoonsgegevens ze verzamelen, hoe deze data worden gebruikt en hoe ze beveiligd zijn, of ze nu worden bewaard in een datacenter of in de cloud. Het maakt ook niet uit of dat in of buiten de Europese Unie gebeurt.

Met persoonsgegevens bedoelt Europa werkelijk alles waarmee iemand geïdentificeerd zou kunnen worden en dat wordt zeer ruim geïnterpreteerd: het gaat niet alleen om e-mailadressen of gewone postadressen, maar ook om ip-adressen, gebruikersnamen, logins, informatie die eventueel via cookies wordt gesprokkeld en zelfs tweets, kortom alle data die kunnen gebruikt worden om de identiteit van een gebruiker te achterhalen. Consumenten zullen aan bedrijven kunnen vragen welke data worden verzameld, waarom die wordt bijgehouden, hoe de dataverwerking gebeurt, wie de gegevens heeft bekeken en voor welke doeleinden dat gebeurde. Bedrijven mogen niet zomaar om het even wat bewaren of verwerken, laat staan doorspelen aan partners of derden.

Vergeten worden

Burgers hebben bovendien het recht om ‘vergeten te worden’ en dus moet een bedrijf elke particulier die ernaar vraagt ervan verzekeren dat zijn persoonlijke gegevens volledig verwijderd worden. Wie indirect informatie of data over een natuurlijke persoon ontvangt, moet die persoon hiervan binnen de maand inlichten. Die indirecte partij moet bovendien vertellen waar de gegevens oorspronkelijk vandaan komen, waarom dat wettelijk is toegelaten, hoe lang de data zullen bewaard worden en welke rechten de betrokken persoon hieromtrent heeft. Marketing- en salesafdelingen beschikken doorgaans graag over zoveel mogelijk gegevens om hun doelpubliek te benaderen, maar het is niet langer toegelaten meer persoonlijke data te bewaren dan nodig. Men mag enkel nog data verzamelen en gebruiken als er een gegronde reden voor is.

Zodra de GDPR in werking treedt, zullen bedrijven enkel nog data mogen bijhouden van klanten die hiervoor hun expliciete toestemming hebben gegeven. Alle betrokkenen moeten ook geïnformeerd worden over de manier waarop deze data worden verzameld en verwerkt. Ze kunnen ook eisen om alle info over hen te wissen. Grote bedrijven die vele en gevoelige gegevens verwerken, moeten zelfs een Data Protection Officer (DPO) aanstellen. Bij de overheid moet die altijd worden aangesteld, voor de private sector gaat het vooral om grote verwerkers van persoonsgegevens. Het is niet zo dat een DPO altijd een erkenning of certificaat nodig heeft; de GDPR laat die kwestie open. Wellicht komen er in de toekomst speciale opleidingen die DPO’s een certificaat opleveren.

Meldingsplicht

GDPR blijft niet beperkt tot het louter verwerken van data. Al wie gegevens sprokkelt, wordt ook geacht daar veilig en verantwoord mee om te gaan. Eventuele datalekken of gegevensdiefstallen moeten binnen de 72 uur verplicht gemeld worden aan de Gegevensbeschermingsautoriteit, de opvolger van de Privacycommissie. Afhankelijk van welke gegevens werden gestolen of welk systeem werd gehackt moeten ook de personen of klanten van wie de gegevens gekaapt zijn op de hoogte worden gebracht.

De GDPR heeft in principe dezelfde uitwerking in alle lidstaten, al zal in de praktijk nog moeten blijken hoeveel verschillen er tussen de verschillende landen zullen blijven bestaan. De lange en vrijwel onleesbare ‘privacy policy’-verklaringen moeten er in ieder geval uit, de kleine lettertjes moeten verdwijnen: bedrijven moeten helder, duidelijk en op een niet-juridische manier uitleggen welke gegevens ze van iemand nodig hebben en wat ze ermee gaan doen.

De GDPR maakt geen onderscheid tussen gegevens over klanten, personeelsleden, leveranciers of wie dan ook: zodra er EU-burgers bij betrokken zijn worden hun persoonsgegevens door de wet beschermd. Het maakt daarbij niet uit of de onderneming die de gegevens van EU-burgers verwerkt zich in of buiten de Europese Unie bevindt. Bedrijven zullen ook de mogelijkheid krijgen om zich te laten certificeren en een ‘European Data Protection Seal’ te verkrijgen. De wet voorziet dat dit zowel door de privacycommissies als door private spelers kan worden uitgereikt, maar de verwachting is dat de meeste Europese gegevensbeschermingsautoriteiten zich daar waarschijnlijk niet zelf mee gaan bezighouden. Ze zullen wel de voorwaarden opstellen om anderen te accrediteren zodat private certificeringsorganisaties dit kunnen uitvoeren.

Controle

De Commissie voor de bescherming van de persoonlijke levenssfeer, beter bekend onder de benaming Privacycommissie, wordt zelf ook hervormd en fungeert vanaf 25 mei als een controlerende instantie met de nieuwe naam Gegevensbeschermingsautoriteit (GBA). In de plaats van zestien commissarissen komen er vijf vaste directeurs. De GBA krijgt een afzonderlijke inspectiedienst met sanctie- en repressiebevoegdheden die ter plaatse bedrijven zal kunnen controleren of complete audits mag uitvoeren. De privacyinspecteurs krijgen voldoende slagkracht om de naleving van de GDPR af te dwingen.

Zij zullen zich aanvankelijk richten op het doen toepassen van de nieuwe regels, maar zullen hardleerse ondernemingen of bedrijven die niet meewerken ook boetes kunnen opleggen. Wie de waarschuwingen negeert of zich weigert in regel te stellen, riskeert bij een datalek een boete tot 10 miljoen € of 2% van de globale bedrijfsomzet (het hoogste bedrag van de twee komt in aanmerking). Wie meer data verzamelt dan toegelaten riskeert 20 miljoen € boete of 4% van de globale jaaromzet. Op gehackt worden staat in principe geen boete, tenzij nadien blijkt dat het getroffen bedrijf te weinig heeft gedaan om zijn datagegevens te beschermen.

In het komende GDPR-tijdperk zullen bedrijven helemaal anders moeten omgaan met privacy dan ze tot dusver gewoon waren. Zeker voor grotere bedrijven wordt een echt datamanagement onontbeerlijk. Sommige ondernemingen zullen nog heel wat werk voor de boeg hebben om te voldoen aan alle eisen. De nieuwe wet omvat immers veel meer dan het volgen van een aantal regeltjes en zal soms een compleet nieuwe cultuur eisen over hoe in een bedrijf wordt omgegaan met persoons- en klantengegevens. Voor bedrijfsleiders is het belangrijk zich hierover tijdig te informeren. Helemaal niets doen is geen optie.

Impact

Het staat nu al vast dat slechts een beperkt aantal Belgische bedrijven tegen 25 mei in orde zal zijn met de vereisten van GDPR. Heel wat bedrijven zijn bovendien te laat in gang geschoten om de deadline nog te halen, al zullen de meesten wellicht wel klaar zijn met de basisverplichtingen. Veel zal afhangen van hoe streng de gegevensbeschermingsautoriteiten zullen optreden na de inwerkingtreding van de GDPR; dat hangt wellicht van land tot land af. Overigens heeft ook Europa zich niet gehaast. De Europese wet moest in twee jaar tijd, tussen 2016 en 2018, in een nationale wetgeving gegoten zijn. De Europese Commissie ging de verschillende landen helpen met onder meer de kwestie omtrent de certificering, maar daar moet men nog aan beginnen. Dat wordt vermoedelijk iets voor volgend jaar.

Het is niet zo dat GDPR digitale marketing onmogelijk zal maken, maar de nieuwe wetgeving zal wel een flinke impact hebben op de werking van de marketing- en salesafdelingen in bedrijven. Naast de technologische uitdagingen zullen ook de interne organisatie, de verschillende bedrijfsprocessen en de kennis en vaardigheden van de betrokken werknemers moeten worden bijgespijkerd. Het kopen van wat software of het gebruik van een privacytool zal niet volstaan. Belangrijk om weten is dat de wetgeving ook van toepassing is voor bedrijven die enkel in de b2b-sfeer werken: iedere onderneming die persoonsgegevens verwerkt, valt onder de GDPR-wetgeving.

Uit onderzoek blijkt dat minder dan 20% van de consumenten data wil delen over zijn of haar online zoekgeschiedenis, inkomen, locatie, adres of medische gegevens. 55% van de consumenten verklaart een online aankoop al eens niet te annuleren vanwege hun bezorgdheid over de  privacy. Ongeveer de helft zou een deel van zijn privacy willen inruilen voor gratis of goedkopere producten. De conclusie: data zijn voor heel wat bedrijven nu al big business en de waarde van persoonlijke gegevens zal de komende jaren alleen maar toenemen. Het kan dus geen kwaad om daar zorgvuldig mee om te gaan.

 

OVERHEIDSOPDRACHTEN
Alle overheidsopdrachten

Meest aanbevolen artikels

Kilometerheffing vrachtwagens: wijzigingen vanaf 1 januari

Kilometerheffing vrachtwagens: wijzigingen vanaf 1 januari

In België  worden vanaf 1 januari 2020 twee wijzigingen doorgevoerd in de kilometerheffing voor vrachtwagens met een maximaal toegelaten massa (mtm) van meer dan 3,5 ton en opleggertrekkende voertuigen van categorie N1 met[…]

Ondernemersvertrouwen op het laagste niveau in drie jaar.

Ondernemersvertrouwen op het laagste niveau in drie jaar.

Lokale besturen krijgen meer geld

Lokale besturen krijgen meer geld

Aantal aangiftes voor klusjes in de bouw is beperkt

Aantal aangiftes voor klusjes in de bouw is beperkt

Meer artikels