Privacywetgeving: Bent u GDPR-compliant?

De Europese privacyverordening (GDPR) voorziet een reeks nieuwe maatregelen voor verwerking, beheer en bewaren van persoonsgegevens. Vanaf 25 mei 2018 moet elke Belgische onderneming die gegevens van EU-burgers verzamelt, met deze nieuwe privacy wetgeving in regel zijn. Ondernemingen zijn zelf verantwoordelijk voor de naleving van de privacywetgeving en moeten dit ook kunnen aantonen.

General Data Protection Regulation

Sinds 1995 bestaat er al een privacyrichtlijn die door alle lidstaten in nationaal recht is omgezet. Die richtlijn bepaalt hoe en wanneer bedrijven persoonsgegevens mogen verzamelen, verwerken en doorgeven aan derden. Die regels doen vandaag onze economische en technologische werkelijkheid (lees digitale revolutie, internet, cloud computing, ...) geen eer aan.

De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) biedt een antwoord op onze dagelijkse internetwereld. De verordening is al op 24 mei 2016 in werking getreden, maar bedrijven krijgen nog tot 25 mei 2018 de tijd om zich aan de nieuwe regels aan te passen. De regels gelden in de hele Europese Unie zonder dat nationale implementatiewetten vereist zijn (m.u.v. enkele bepalingen).
Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen. De bescherming die deze verordening biedt, betreft alleen natuurlijke personen -ongeacht hun nationaliteit of verblijfplaats- en de verwerking van hun persoonsgegevens.

Rechten van burgers

De bescherming van (natuurlijke) personen bij de verwerking van persoonsgegevens is een grondrecht. Uit onderzoek van de Europese Commissie blijkt dat internetgebruikers vragen hebben bij de wijze waarop hun persoonsgegevens online worden gebruikt. De nieuwe verordening geeft burgers meer controle door:

Een eenvoudigere toegang tot de eigen persoonsgegevens.

Een recht op overdraagbaarheid van gegevens (data portability). Dit is een verbeterde vorm van toegang waarbij de betrokkene het recht heeft persoonsgegevens in een gestructureerde, gangbare én elektronische vorm te verkrijgen.

Een bevestiging van het recht op gegevenswissing of het recht op vergetelheid (right to be forgotten).

Het recht om verwittigd te worden als een database met uw gegevens wordt gehackt ("datalekken" zie infra).

Plichten van bedrijven

Vanaf 25 mei 2018 moeten sommige verwerkingsverantwoordelijken en/of verwerkers (bv. banken en verzekeraars) verplicht een functionaris voor gegevensbescherming aanstellen, ook wel de Data Protection Officer (DPO) genoemd. Maar ook wie niet onder deze verplichting valt, heeft belang bij de aanstelling van zo'n functionaris die een belangrijke rol kan spelen in het databeschermingsbeleid van uw organisatie.

De AVG verplicht ook om een interne documentatie bij te houden van de verwerkingsactiviteiten (risicoanalyse). De Privacycommissie stelt alvast een Registermodel ter beschikking. Om rekening te houden met de specifieke situatie van kmo's en micro-ondernemingen is er een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van die registers betreft.

Om zich voor te bereiden op de nieuwe regels heeft de Privacycommissie trouwens een stappenplan voor bedrijven uitgewerkt (www.privacycommission.be). Die dertien stappen gaan over:

1. Bewustwording: informeer medewerkers over de aankomende veranderingen.
2. Dataregister: breng in kaart welke persoonsgegevens worden bijgehouden, waar die vandaan komen en met wie deze worden gedeeld.
3. Communicatie: worden nu al persoonsgegevens verwerkt? Dan moet u aan de betrokkene bepaalde informatie verschaffen zoals de identiteit van de verwerker en de wijze waarop die de gegevens zal aanwenden. Doorgaans wordt die informatie verstrekt via een privacyverklaring. Die privacyverklaring moet worden aangevuld met nieuwe informatietypes.
4. Rechten van de betrokkene: ... zijn dezelfde rechten als onder de huidige Belgische Privacywet met enkele verbeteringen. De AVG voorziet o.a. in informatie en toegang tot persoonsgegevens; correctie en uitwissing van de gegevens; bezwaar tegen direct marketingpraktijken; bezwaar tegen geautomatiseerde besluitvorming en profilering en overdraagbaarheid van de gegevens. Het recht op overdraagbaarheid van de gegevens is nieuw.
5. Verzoek tot toegang: in de meeste gevallen moet gratis en binnen de 30 dagen (i.t.t. de huidige termijn van 45 dagen) gevolg worden gegeven aan het verzoek tot toegang.
6. Wettelijke grondslag voor verwerking van persoonsgegevens: ... is in de AVG quasi identiek aan deze in de huidige Privacywet. Kijk de gegevensverwerkingen na, bepaal de wettelijke basis en documenteer dit in het licht van de verantwoordelijkheidsvereiste.
7. Toestemming: de AVG vermeldt “toestemming” en “expliciete toestemming”. Het onderscheid is niet echt duidelijk. De toestemming kan wel niet worden afgeleid uit een stilzwijgen, een vooraf aangevinkt vakje of uit een niet-handelen.
8. Kinderen: verzamelt uw bedrijf gegevens van kinderen onder de 16 jaar, dan moet een ouder of voogd toestemming geven opdat de gegevensverwerking rechtmatig is.
9. Datalekken: datalekken waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden, bv. als gevolg van een identiteitsdiefstal of het schenden van een geheimhoudingsplicht, moeten worden gemeld aan de Privacycommissie in principe binnen de 72 uur. Ook de betrokkene moet dan worden ingelicht.
10. Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling (privacy by design en privacy impact assessment): de AVG maakt hiervan een duidelijke wettelijke vereiste. Een effectbeoordeling is enkel vereist in hoge risicosituaties, bv. wanneer een nieuwe technologie wordt geïmplementeerd.
11. Functionaris voor gegevensbescherming (Data Protection Officer): zie supra.
12. Internationaal: wie internationaal actief is, moet bepalen onder welke toezichthoudende autoriteit hij valt.
13. Contracten: beoordeel bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng zo nodig tijdig veranderingen aan.

Strengere controles

De niet-naleving van de huidige privacywetgeving blijft zo goed als ongestraft omdat de Privacycommissie geen boetes kan opleggen. Wie niet GDPR-compliant is, mag zich echter aan strenge controles verwachten. De Privacycommissie zal immers onderzoeks- en vervolgingsbevoegdheden krijgen. Inbreuken zijn onderworpen aan administratieve geldboeten tot 20.000.000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is!

Zie ook http://gdpr.wolterskluwer.be