2018 zal voor vele Belgische bedrijven in het teken staan van ‘data privacy’. Sinds mei 2018 zijn we namelijk in een ander tijdperk aangekomen. Op dat moment is de General Data Protection Regulation (GDPR) – ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG) – in de hele EU van kracht gegaan. Die nieuwe wetgeving heeft een grote impact en bedrijven er dus goed aan zich dit jaar nog in orde te stellen. In deze blogpost vatten we de essentie van de GDPR voor u samen.
Tot 25 mei 2018 bestond er op Europees niveau enkel een richtlijn voor gegevensbescherming, maar geen echte wetgeving. Die richtlijn is meer dan 20 jaar oud en ze hield geen rekening met de nieuwe uitdagingen voor gegevensbescherming in een geglobaliseerde en gedigitaliseerde markt van e-commerce, sociale media en mobiel internet. Elke EU-lidstaat had tot nu toe zijn eigen regelgeving en controleorganen. Misbruiken bleven in de meeste gevallen onbestraft.
Met de GDPR wil de Europese Commissie de wetgeving rond bescherming van persoonlijke gegevens moderniseren, uniformiseren en vereenvoudigen voor alle EU-landen. Het doel is de privacy van EU-inwoners te versterken, hun persoonlijke gegevens beter te beveiligen en ervoor te zorgen dat bedrijven de nodige maatregelen nemen om daarvoor te zorgen.
GDPR: hoe begint u er nu echt aan?
In ons eBook vindt u een concreet stappenplan terug.
Download eBookWat is de GDPR?
Daar waar de bestaande Europese regelgeving voor databescherming enkel gold als richtlijn (‘directive’), is de GDPR een wetgeving (‘regulation’) die in elke lidstaat van toepassing is. Elk lidstaat richt ook een eigen autoriteit op, die klachten onderzoekt en overtredingen bestraft. Er worden overigens zware boetes voorzien voor overtreders. Eigenlijk is de GDPR op 24 mei 2016 al in werking getreden. In België kregen de Gegevensbeschermingsautoriteit (GBA), bedrijven en organisaties echter tot 25 mei 2018 de tijd om zich aan de nieuwe eisen van de wet aan te passen.
Over welke persoonlijke gegevens gaat het?
De GDPR behelst de bescherming van persoonsgegevens. Concreet gaat het om elke vorm van informatie die rechtstreeks of onrechtstreeks kan worden gekoppeld aan een individu en betrekking heeft op diens persoonlijk, professioneel of publiek leven. Het kan dus gaan om een naam, e-mailadres, foto, medische, financiële of commerciële gegevens. Maar ook machinale data zoals een IP-adres, locatiegegevens, transacties of webserverlogs kunnen persoonsgegevens zijn.
Op wie en waar is de wet van toepassing?
De wetgeving is van toepassing op alle organisaties – gevestigd in de EU of daarbuiten – die persoonlijke data controleren (data controllers) of verwerken (data processors) van EU-onderdanen (data subjects). Voor alle organisaties gelden dezelfde regels en wetten. Een data controller is een persoon of organisatie die het doel en de middelen bepaalt voor de verwerking van de gegevens. Elk bedrijf dat over personeelsgegevens beschikt is bijvoorbeeld een data controller. Een data processor is externe partij die de verwerking doet in opdracht van de controller. Bijvoorbeeld een sociaal secretariaat dat de lonen betaalt voor een bedrijf.
Wat zijn de belangrijkste nieuwigheden en aandachtspunten van de wet?
- Meer rechten voor de burgers: een eerste belangrijk element is het recht om ‘gewist’ te worden. Dat houdt in dat burgers kunnen eisen dat hun persoonsgegevens niet langer verwerkt worden, dus bijvoorbeeld niet langer in een database zitten. Een tweede nieuw aspect is het recht op overdraagbaarheid. Iedereen zal het recht hebben om persoonlijke data van het een naar het ander systeem over te dragen. De data controller moet de data daarvoor ter beschikking stellen in een gestructureerde, gangbare en elektronische vorm.
- Privacy by design & default: ‘Privacy by Design and by Default’ betekent dat gegevensbescherming als het ware ‘ingebakken’ zit in het ontwerp van bedrijfsprocessen. Standaard (‘by default’) dienen instellingen die betrekking hebben op privacy streng te zijn. Organisaties moeten kunnen aantonen dat ze de juiste technische en operationele maatregelen hebben genomen om persoonlijke data die ze opslaan/verwerken afdoende te beschermen en dit afhankelijk van het risico. Denk aan toegangscontrole, anonimisering en pseudonimisering, encryptie, risicoanalyses, enzovoort.
- Datalekken: onder de GDPR zullen bedrijven verplicht worden om de lokale bevoegde autoriteit onmiddellijk op de hoogte te brengen van datalekken die schade kunnen berokkenen voor de betrokken personen. In sommige gevallen moet het bedrijf de betrokken personen rechtstreeks verwittigen, bijvoorbeeld wanneer het datalek kan leiden tot persoonlijke financiële verliezen.
- Data Privacy Officer: sommige organisaties zullen in het kader van de GDPR een Data Privacy Officer moeten aanstellen. Die persoon moet ervoor zorgen dat de principes van databescherming in de organisatie worden nageleefd. Hij of zij dient ook de nodige kennis, medewerking en bevoegdheid hebben om dat te doen.
- Hoge boete: naast imagoschade riskeren bedrijven en organisaties die niet aan de regels voldoen forse boetes. Zo voorziet de GDPR een maximale boete van 20 miljoen euro of vier procent van de wereldwijde omzet – de hoogste van de twee – voor inbreuken waarbij de rechten van de individuen zijn geschonden.
Tijd voor actie
Starten met het in kaart brengen van de types data die je bedrijf capteert, verwerkt of behandelt en daarop een eerste risicoanalyse uitvoeren (via een security audit bijvoorbeeld), is een eerste goede stap. Laat je bijstaan door specialisten ter zake, die zowel IT, de business als de nieuwe dataprivacywetgeving beheersen en bij voorkeur de nodige certificatie bezitten.
Meer informatie over de GDPR vindt u op de website van de Belgische privacycommissie, die nu als de GegevensBeschermingsAutoriteit door het leven gaat.
Download ons GDPR eBook
Om u te helpen hebben we een GDPR eBook geschreven waar u
een concreet stappenplan terug vindt om mee aan de slag te gaan.