Europa heeft na maanden overleg een politiek akkoord bereikt over hoe in Europa opererende bedrijven moeten omgaan met data van Europese burgers. Maar wat betekent dat voor uw bedrijf?
Niet-naleving ervan kan leiden tot strenge straffen, waaronder een boete die kan oplopen tot 4 procent van de (wereldwijde) omzet van het vorige boekjaar. U houdt dus maar beter rekening met de nieuwe wetgeving, want persoonsgegevens zijn nu eenmaal overal. Het gaat over “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Klanten dus, maar ook leveranciers en werknemers. Bovendien gaat het over alle mogelijke manieren waarop bedrijven die gegevens verwerken: verzamelen, opslaan, verzenden, enzovoort.
Bewijzen
De nieuwe regelgeving legt nieuwe verplichtingen op aan wie gegevens verwerkt. Eén verplichting gaat over de accountability. Tot nu volstond het dat u de Commissie voor de bescherming van de persoonlijke levenssfeer (www.privacycommission. be) verwittigde van de gegevensverwerking, maar voortaan moet u met bewijzen aantonen dat u daarbij de richtlijnen respecteert. Voorbeelden van zulke richtlijnen zijn op een wettelijke, billijke en transparante manier handelen of enkel gegevens verwerken die adequaat en relevant zijn en beperkt tot de onderliggende doeleinden.
Wat als de gegevensverwerking een groot risico vormt voor de rechten en de vrijheden van de betrokkenen? Dan moet u soms eerst inschatten hoe groot dat risico is met een data privacy impact assessment. Andere nieuwe begrippen zijn privacy by design en privacy by default. Privacy by design houdt in dat al wie verantwoordelijk is voor de verwerking van persoonsgegevens voortaan verplicht is al meteen bij de ontwikkeling van zijn producten en diensten privacybeschermende maatregelen in te bouwen. Privacy by default betekent dat een product of dienst standaard dusdanig moet zijn ingesteld dat enkel die gegevens worden verwerkt die nodig zijn voor het bijbehorende doel.
Gegegevenslek
Een gegevenslek moet u melden uiterlijk 72 uur nadat u het lek hebt vastgesteld. Als het datalek waarschijnlijk een groot risico inhoudt voor de rechten en de vrijheden van de betrokkenen, dient u hen onverwijld te verwittigen.
Nicolas Roland (advocaat bij Stibbe)
