1. Home
  2. Nieuws
  3. GDPR, een hele juridische kluif

GDPR, een hele juridische kluif

De Algemene Verordening Gegevensbescherming (GDPR: General Data Protection Regulation) is reeds in werking getreden, maar iedereen die in Europa persoonsgegevens verwerkt, opslaat, verzamelt of op eender welke manier gebruikt, krijgt nog respijt tot 25 mei 2018 om zich aan te passen aan deze strenge en indringende regelgeving. Advocaat Anouk Focquet geeft wat meer uitleg.

_legalworld_uploadedimages_home_home_2_anouk-focquet

De Algemene Verordening Gegevensbescherming (GDPR: General Data Protection Regulation) is reeds in werking getreden, maar iedereen die in Europa persoonsgegevens verwerkt, opslaat, verzamelt of op eender welke manier gebruikt, krijgt nog respijt tot 25 mei 2018 om zich aan te passen aan deze strenge en indringende regelgeving. Advocaat Anouk Focquet geeft wat meer uitleg.

'Voor het bedrijfsleven betekent dit echt een wake-up call. Want van de huidige wet ter bescherming van de privacy lag geen enkel bedrijf wakker. De privacycommissie kon zelf geen boetes opleggen, waardoor er in ons land amper handhaving bestond.' De nieuwe verordening breidt de bestaande rechten voor de betrokkenen uit en voorziet in een sanctioneerbare responsabilisering van de verantwoordelijke ondernemingen.

Redenen

Anouk Focquet legt uit dat de verordening alleszins niet te vroeg komt: 'De GDPR dient vooral om de privacy van consumenten, werknemers enz. beter te beschermen in deze data-economie.
De huidige wet was sinds 1995 niet meer substantieel aangepast. Ondertussen is de technologie enorm gemoderniseerd en verwerken bedrijven en organisaties steeds meer data voor uiteenlopende doeleinden.
Op vandaag heeft elk van de 28 landen van de Europese Unie haar eigen wetgeving, weliswaar op basis van de omzetting van Europese richtlijn 95/46/EG. De rechtstreekse werking van de GDPR moet de naleving voor multinationale ondernemingen vergemakkelijken.'

Elk bedrijf verwerkt vandaag persoonsgegevens: van klanten, prospecten, leveranciers, medewerkers… Maar dat mag voortaan ofwel met een duidelijke toestemming van de betrokkene, ofwel omdat dit om diverse legitieme redenen noodzakelijk is. En ‘persoonlijke data’ moet je heel ruim zien: 'Dat is alle informatie over een natuurlijk persoon, zoals een naam, identificatienummer, een (IP-)adres, een abonnement of enig ander element dat je fysieke, genetische, psychische, economische of sociale identiteit kan bepalen. Ondernemingen mogen in principe geen persoonsgegevens verwerken over ras, gezondheid, politieke, syndicale, seksuele of levensbeschouwelijke overtuigingen, noch over genetische en biometrische gegevens tenzij de betrokkene zijn uitdrukkelijke toestemming heeft gegeven.'

De ondernemingen zullen zich er moeten op organiseren om de betrokken ‘data subjects’ te kunnen informeren over hun rechten en over hun verwerkte persoonsgegevens. De GDPR herneemt of expliciteert de individuele rechten uit de Richtlijn: het recht op informatie en inzage, recht op verwijdering of op correctie, recht op verzet tegen direct marketingpraktijken, recht op bezwaar tegen geautomatiseerde besluitvorming en profilering. Met het toegenomen toezicht is het evenwel naïef te veronderstellen dat dit ook nu nog grotendeels dode letter kan blijven. En de verordening voegt er 2 nieuwe rechten aan toe: het recht op beperking van de verwerking en het recht op overdraagbaarheid.

 

Accountability

De GDPR responsabiliseert de ondernemingen met nieuwe verplichtingen. Kenmerkend voor het nieuwe systeem is immers de 'verantwoordingsplicht' of documentatieplicht. Die vervangt de huidige aanmeldingsplicht: 'Ondernemingen zullen zelf moeten nagaan en kunnen bewijzen dat zij de regels kennen en naleven en hun persoonsgegevens correct verwerken. Behalve in KMO’s moet elke verwerkingsverantwoordelijke daartoe o.m. een register met alle uitgevoerde verwerkingsactiviteiten bijhouden.' Focquet wijst ook even op de meldplicht bij datalekken of beveiligingsinbreuken (data breaches): 'Als persoonsgegevens verloren gaan of gestolen worden, moet je in bepaalde omstandigheden de privacy-autoriteit binnen de 72 uur verwittigen, evenals de betrokken klanten.'

In bepaalde hoge risicosituaties zal zelfs eerst een voorafgaandelijke ‘Data Protection Impact Assessment’ nodig zijn. Die gegevensbeschermingseffectbeoordeling is bijvoorbeeld verplicht bij gebruik van een nieuwe technologie of bij een profileringsoperatie met aanzienlijke gevolgen voor de betrokkenen.

In beperkte gevallen moeten sommige bedrijven ook een interne of externe gegevensbeschermingsfunctionaris (Data Protection Officer) aanstellen. Denk bijvoorbeeld aan banken en verzekeraars. Zijn deskundig toezicht op de naleving van GDPR is nodig als men als hoofdactiviteit regelmatig en stelselmatig grote groepen observeert of als men op grote schaal bijzondere persoonsgegevens verwerkt. 'Maar het wordt sowieso voor iedereen een ‘best practice’ om intern een jurist aan te stellen om te waken en te helpen bij de correcte naleving. Hij is best geplaatst om de wet te interpreteren, te integreren of uit te leggen,' benadrukt Anouk Focquet.

 

Bedrijfsaudit

In het licht van de nieuwe verplichtingen zal elk bedrijf onvermijdelijk een privacy audit moeten uitvoeren om in kaart te brengen welke data het gebruikt, waar die vandaan komen, wie er toegang toe heeft, welke onderaannemers gebruiksrechten hebben enzoverder. 'Alleen zo kan je alle veiligheidsrisco’s inschatten, wat noodzakelijk is om de nieuwe verplichtingen correct in te schatten.' Met die DPO, DPIA en dergelijke voert de verordening overigens een ‘risk based approach’ in: de verplichtingen nemen toe naarmate het risico voor de betrokkenen hoger is. Na die audit volgt een actieplan met aanpassingen op het vlak van de technische beveiliging, bedrijfsprocessen, contracten en reglementen.

Wie niet GDPR-compliant is tegen mei 2018, mag zich aan strengere controles en hogere administratieve boetes verwachten. 'De privacycommissie krijgt namelijk onderzoeks- en vervolgingsbevoegdheden die vergelijkbaar zijn met die van de mededingingsautoriteiten. Zo kunnen ze zowel documenten opvragen als ter plaatse inspecties verrichten. Staatsscretaris De Backer heeft al laten verstaan dat de GDPR een hele klus wordt maar dat er geen uitstel noch respijt kan worden gegeven.'

Onze privacycommissie is - grotendeels in samenwerking met de Working Party 29 - druk bezig met het opstellen van handige richtsnoeren voor de nieuwe verordening. Maar ook onze overheid mag niet stilzitten. Er moet immers nog een autoriteit opgericht worden met specifieke bevoegdheden en voldoende eigen middelen. 'Zelfs in het waarschijnlijke geval van een doorstart van de huidige privacycommissie is er nog enig wetgevend werk nodig. Staatssecretaris De Backer hoopt die wetgeving klaar te hebben tegen het einde van het jaar zodat onze autoriteit nog een zestal maanden de tijd heeft om zich voor te bereiden op de organisatorische nieuwigheden'.

 

To do’s

Anouck Focquet sluit af met haar belangrijkste praktijktips: 'Ook in het privacyrecht geldt dat voorkomen beter is dan genezen. Met deze vier acties ben je goed op weg om ervoor te zorgen dat je persoonsgegevensverwerking vanaf 25 mei 2018 correct verloopt!

  1. Breng alle bestaande gegevensverwerkingsactiviteiten (zowel die van werknemers als leveranciers en klanten) volledig in kaart.
  2. Ga voor elke verwerkingsactiviteit na wat GDPR daarover bepaalt of vooropstelt. (Bijvoorbeeld: is er een rechtmatige verwerkingsgrond? Werden de betrokkenen vooraf correct geïnformeerd of om een specifieke toestemming gevraagd? Worden de data correct bewaard? Wordt er een gerechtvaardigd belang behartigd?).
  3. Stel nu al een interne compliance policy op met goede procedures voor het opstarten van de verwerkingsactiviteiten, het bijhouden van het register, de opvolging van de verzoeken van de betrokkenen, het melden van datalekken…
  4. Geef opleiding aan alle betrokkenen opdat zij de compliance policy ook effectief met kennis van zaken kunnen toepassen.'

Meer informatie:

Tekst van Sophie Nottebaert, eerder verschenen bij Kluwer Opleidingen.

 

 

  909