8 veelvoorkomende misverstanden over de GDPR

In 2016 is de Algemene Verordening Gegevensbescherming aangenomen. In mei 2018 is de verordening integraal van toepassing. Voor ondernemingen die zakendoen in Europa is het van cruciaal belang om de bedrijfsvoering af te stemmen op deze nieuwe verordening.
Over deze nieuwe Europese privacywet bestaan heel wat misverstanden. Edwin Jabobs, advocaat bij time.lex, zet de acht belangrijkste op een rij.

_legalworld_uploadedimages_home_luis-llerena-14779_data_small

Misverstand 1: de GDPR geldt niet voor kleine ondernemingen
Alhoewel er enkele concessies worden gedaan richting kleine ondernemers en mbo’s is de GDPR van toepassing op alle organisaties die persoonlijke data verwerken. De impact van de GDPR op een onderneming hangt af van de wijze waarop data worden verwerkt, en niet van het aantal datarecords of de grootte van de organisatie.
De verordening noemt als voorwaarde dat “het verwerken van data of monitoren van individuen” onderdeel is van de kernactiviteiten van de onderneming. De aanduiding “kernactiviteiten” wordt echter niet nader gespecificeerd. Best is er van uit te gaan dat de verordening geldt voor iedere onderneming die met een commercieel belang identificeerbare persoonlijke gegevens verwerkt.

Misverstand 2: iedere onderneming waarop de GDPR van toepassing is, moet een Data Protection Officer (DPO) aanstellen 
Het feit dat de GDPR op een onderneming van toepassing is, wil nog niet zeggen dat deze onderneming een Data Protection Officer (of: functionaris voor gegevensbescherming) moet aanstellen. Dit is alleen het geval bij publieke instellingen die data verwerken, ondernemingen die persoonlijke data systematisch op grote schaal verwerken, en organisaties die data verwerken met betrekking tot specifieke datacategorieën (zoals gezondheidsdata).
Maar ook al valt een onderneming niet in een van deze categorieën, dan kan het alsnog verstandig zijn om een DPO aan te stellen. Dit kan ook een externe DPO zijn zoals een advocaat. Dit zorgt voor extra toezicht en meer zekerheid bij eventuele geschillen.

Misverstand 3: het aanstellen van een DPO is slechts een formaliteit
De GDPR schrijft voor dat een Data Protection Officer aantoonbaar “expert knowledge” heeft van privacy en databeveiliging. Daarnaast moet de aangestelde DPO voldoende op de hoogte zijn van de bedrijfsspecifieke dataprocessen. Het simpelweg aanstellen van een van de medewerkers als DPO is dus niet voldoende.


Misverstand 4: onze onderneming versleutelt data, dus we voldoen aan de GDPR
Het is een misverstand dat slechts het versleutelen van data al voldoende is voor de GDPR. Data encryption moet eerder gezien worden als de minimale standaard waarbij extra maatregelen bijna onmisbaar zijn. Ondernemingen moeten extra mogelijkheden bieden om persoonlijke data te beschermen, zoals het gebruiken van tweestapsverificatie en het permanent verwijderen van data die niet meer worden gebruikt.


Misverstand 5: data worden in de cloud bewaard, dus de verantwoordelijkheid voor databeveiliging ligt bij de cloud provider en security provider
De GDPR is niet alleen van toepassing op bedrijven die data opslaan, maar ook op de ondernemingen die deze data verwerken. Dat betekent dat de GDPR ook van toepassing is als een onderneming gebruikmaakt van externe providers voor gegevensopslag bij het verwerken van data.


Misverstand 6: mijn onderneming voldoet aan de Privacywet, dus we voldoen ook aan de GDPR
De GDPR vervangt de databeschermingsrichtlijn, die in België is omgezet in de Privacywet. De GDPR en de Privacywet zijn echter in vele opzichten verschillend. Er zijn bijvoorbeeld verschillen in de mate waarop de gebruiker toestemming moet verlenen voor het verwerken van zijn of haar data, en de manier waarop de gebruiker geïnformeerd moet worden bij eventuele datalekken.
Wel is het zo dat het voldoen aan de Privacywet zorgt voor een eenvoudigere overgang naar het voldoen aan de GDPR.


Misverstand 7: mijn onderneming voldoet aan het Privacy Shield, dus we voldoen ook aan de GDPR

Alhoewel er veel overeenkomsten zijn tussen de regelgeving van het  Privacy Shield (de overeenkomst tussen de EU en de Verenigde Staten in opvolging van de Safe Harbour overeenkomst) en de regelgeving van de GDPR, is het niet zo dat deze twee systemen geheel gelijk zijn. Het Privacy Shield heeft slechts betrekking op een van de vele onderwerpen van de GDPR, namelijk internationale datatransfers. Het Privacy Shield zegt bijvoorbeeld niets over gebruikerstoestemmingen, data protection officers en meer.

Misverstand 8: de GDPR is een all-in-one-oplossing voor dataverwerking in Europa
De GDPR is in de markt gezet als een universele verordening die de regelgeving in Europa vereenvoudigt en unificeert. In de praktijk is dit echter niet het geval. Voor multinationals is de GDPR slechts een verordening naast een aantal bestaande verordeningen. Zo zijn er bijvoorbeeld verschillende wettelijke regels over de notificatieplicht in geval van een datalek of data breach. Daarnaast moeten ondernemingen voldoen aan nationale privacyregels die per land verschillen. Het wordt nog gecompliceerder als de GDPR tegenstrijdig blijkt te zijn met dergelijke nationale richtlijnen of branchegerelateerde richtlijnen.


Ondernemers, bedrijven en multinationals hebben tot mei 2018 de tijd om de bedrijfsvoering af te stemmen op de GDPR. Het is aangewezen dat ondernemingen er zo snel mogelijk aan beginnen en bijzonder raadzaam het juridisch advies van een privacy expert in te winnen.

Edwin Jacobs, advocaat time.lex 

 

 

  8982