Het jaar van data privacy (en GDPR)

2017 zal voor vele Belgische bedrijven in het teken staan van ‘data privacy’. Althans, dat zou zo moeten zijn, want in mei 2018 wordt alles anders. Op dat moment wordt de General Data Protection Regulation (GDPR) – ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG) – in de hele EU van kracht. Die nieuwe wetgeving heeft een grote impact en bedrijven er dus goed aan zich dit jaar nog in orde te stellen. In deze blogpost vatten we de essentie van de GDPR voor u samen.

Waarom een nieuwe wetgeving voor gegevensbescherming?

Tot nu bestond er op Europees niveau enkel een richtlijn voor gegevensbescherming, maar geen echte wetgeving. Die richtlijn is meer dan 20 jaar oud en ze hield geen rekening met de nieuwe uitdagingen voor gegevensbescherming in een geglobaliseerde en gedigitaliseerde markt van e-commerce, sociale media en mobiel internet. Elke EU-lidstaat had tot nu toe zijn eigen regelgeving en controleorganen. Misbruiken bleven in de meeste gevallen onbestraft.
Met de GDPR wil de Europese Commissie de wetgeving rond bescherming van persoonlijke gegevens moderniseren, uniformiseren en vereenvoudigen voor alle EU-landen. Het doel is de privacy van EU-inwoners te versterken, hun persoonlijke gegevens beter te beveiligen en ervoor te zorgen dat bedrijven de nodige maatregelen nemen om daarvoor te zorgen.

GDPR: hoe begint u er nu echt aan?

In ons eBook vindt u een concreet stappenplan terug.

Download eBook

Wat is de GDPR?

Daar waar de bestaande Europese regelgeving voor databescherming enkel gold als richtlijn (‘directive’), is de GDPR een wetgeving (‘regulation’) die in elke lidstaat van toepassing is. Elk lidstaat richt ook een eigen autoriteit op, die klachten onderzoekt en overtredingen bestraft. Er worden overigens zware boetes voorzien voor overtreders. Eigenlijk is de GDPR op 24 mei 2016 al in werking getreden. In België krijgen de Privacycommissie, bedrijven en organisaties echter tot 25 mei 2018 de tijd om zich aan de nieuwe eisen van de wet aan te passen.

Over welke persoonlijke gegevens gaat het?

De GDPR behelst de bescherming van persoonsgegevens. Concreet gaat het om elke vorm van informatie die rechtstreeks of onrechtstreeks kan worden gekoppeld aan een individu en betrekking heeft op diens persoonlijk, professioneel of publiek leven. Het kan dus gaan om een naam, e-mailadres, foto, medische, financiële of commerciële gegevens. Maar ook machinale data zoals een IP-adres, locatiegegevens, transacties of webserverlogs kunnen persoonsgegevens zijn.

Op wie en waar is de wet van toepassing?

De wetgeving is van toepassing op alle organisaties – gevestigd in de EU of daarbuiten – die persoonlijke data controleren (data controllers) of verwerken (data processors) van EU-onderdanen (data subjects). Voor alle organisaties gelden dezelfde regels en wetten. Een data controller is een persoon of organisatie die het doel en de middelen bepaalt voor de verwerking van de gegevens. Elk bedrijf dat over personeelsgegevens beschikt is bijvoorbeeld een data controller. Een data processor is externe partij die de verwerking doet in opdracht van de controller. Bijvoorbeeld een sociaal secretariaat dat de lonen betaalt voor een bedrijf.

Wat zijn de belangrijkste nieuwigheden en aandachtspunten van de wet?

Meer rechten voor de burgers

Een eerste belangrijk element is het recht om ‘gewist’ te worden. Dat houdt in dat burgers kunnen eisen dat hun persoonsgegevens niet langer verwerkt worden, dus bijvoorbeeld niet langer in een database zitten. Een tweede nieuw aspect is het recht op overdraagbaarheid. Iedereen zal het recht hebben om persoonlijke data van het een naar het ander systeem over te dragen. De data controller moet de data daarvoor ter beschikking stellen in een gestructureerde, gangbare en elektronische vorm.

Privacy by design & default

‘Privacy by Design and by Default’ betekent dat gegevensbescherming als het ware ‘ingebakken’ zit in het ontwerp van bedrijfsprocessen. Standaard (‘by default’) dienen instellingen die betrekking hebben op privacy streng te zijn. Organisaties moeten kunnen aantonen dat ze de juiste technische en operationele maatregelen hebben genomen om persoonlijke data die ze opslaan/verwerken afdoende te beschermen en dit afhankelijk van het risico. Denk aan toegangscontrole, anonymisering en pseudonymisering, encryptie, risicoanalyses, enzovoort.

Datalekken

Onder de GDPR zullen bedrijven verplicht worden om de lokale bevoegde autoriteit onmiddellijk op de hoogte te brengen van datalekken die schade kunnen berokkenen voor de betrokken personen. In sommige gevallen moet het bedrijf de betrokken personen rechtstreeks verwittigen, bijvoorbeeld wanneer het datalek kan leiden tot persoonlijke financiële verliezen.

Data Privacy Officer

Sommige organisaties zullen in het kader van de GDPR een Data Privacy Officer moeten aanstellen. Die persoon moet ervoor zorgen dat de principes van databescherming in de organisatie worden nageleefd. Hij of zij dient ook de nodige kennis, medewerking en bevoegdheid hebben om dat te doen.

Hoge boetes

Naast imagoschade riskeren bedrijven en organisaties die niet aan de regels voldoen forse boetes. Zo voorziet de GDPR een maximale boete van 20 miljoen euro of vier procent van de wereldwijde omzet – de hoogste van de twee – voor inbreuken waarbij de rechten van de individuen zijn geschonden.

Tijd voor actie

Mei 2018 lijkt nog veraf, maar voor heel wat bedrijven is er voor de GDPR nog heel wat werk aan de winkel. Niet in het minst op het vlak van IT, de motor die persoonlijke data huisvest en verwerkt. Hoog tijd dus om de nodige voorbereidingen te treffen.

Starten met het in kaart brengen van de types data die je bedrijf capteert, verwerkt of behandelt en daarop een eerste risicoanalyse uitvoeren, is een eerste goede stap. Laat je bijstaan door specialisten ter zake, die zowel IT, de business als de nieuwe dataprivacywetgeving beheersen en bij voorkeur de nodige certificatie bezitten.

Meer informatie over de GDPR vindt u op de website en in het stappenplan van de Belgische privacycommissie.

Update 21/12/2017: GDPR eBook

De blogpost hierboven geeft u een goed zicht over de belangrijkste zaken omtrent de GDPR-wetgeving. Echter, concreet aan de slag gaan met deze nieuwe wetgeving vereist een praktisch stappenplan. Dit hebben we uitgeschreven in de vorm van een eBook waar we op een pragmatische manier aan de slag gaan. Geen bangmakerij, maar een stappenplan waarmee u uw bedrijf klaarstoomt voor de GDPR.

Het eBook downloadt u hier.