Vrije Tribune
8 misverstanden over de nieuwe Europese privacywet
Over de nieuwe Europese privacywetgeving bestaan een aantal misverstanden, zegt Edwin Jacobs, advocaat bij time.lex. Dat de nieuwe richtlijnen niet voor kleine ondernemingen zouden gelden, is alvast één misverstand dat hij uit de weg wil ruimen.
Misverstand 1: ‘De Europese privacywet geldt niet voor kleine ondernemingen’
Hoewel er enkele toegevingen worden gedaan aan kleine ondernemers en kmo’s is de privacywet van toepassing op alle organisaties die persoonlijke data verwerken. De impact van de GDPR op een onderneming hangt af van de wijze waarop data worden verwerkt, en niet van het aantal data of de omvang van de organisatie.
Wanneer het verwerken van data of monitoren van individuen onderdeel is van de kernactiviteiten van de onderneming, dan is de GDPR zeker van toepassing. De omschrijving ‘kernactiviteiten’ wordt echter niet nader gespecificeerd. Het beste is ervan uit te gaan dat de verordening geldt voor iedere onderneming die met een commercieel belang identificeerbare persoonlijke gegevens verwerkt.
Misverstand 2: ‘Iedere onderneming waarop de privacywet van toepassing is, moet een Data Protection Officer (DPO) aanwijzen’
Het feit dat de privacywet van toepassing is, betekent niet dat die onderneming een Data Protection Officer (functionaris voor gegevensbescherming) moet aanduiden. Dat is alleen het geval voor publieke instellingen die data verwerken, ondernemingen die persoonlijke data systematisch op grote schaal verwerken, en organisaties die data verwerken over specifieke datacategorieën, bijvoorbeeld gezondheid. Maar ook al valt een onderneming niet onder een van die categorieën, dan kan het alsnog verstandig zijn om een DPO aan te wijzen. Ook een externe DPO blijft mogelijk, zoals een advocaat. Dat zorgt voor extra toezicht en brengt meer duidelijkheid bij geschillen.
Misverstand 3: ‘De aanwijzing van een DPO is slechts een formaliteit’
De privacywet schrijft voor dat een Data Protection Officer ‘expert knowledge’ heeft over privacy en databeveiliging. Bovendien moet de DPO op de hoogte zijn van de bedrijfsspecifieke dataprocessen. Het eenvoudigweg aanwijzen van een van de medewerkers van de onderneming als DPO is dus niet voldoende.
Misverstand 4: ‘Onze onderneming versleutelt data, dus voldoen we aan de normen’
Het is een misverstand dat enkel het versleutelen van data volstaat om te voldoen aan de nieuwe wettelijke bepalingen. Ondernemingen moeten extra mogelijkheden bieden om persoonlijke data te beschermen, zoals tweestapsverificatie en het permanent verwijderen van data die niet meer worden gebruikt.
De nieuwe Europese privacywet is van toepassing op alle organisaties die persoonlijke data verwerken
Misverstand 5: ‘Data worden in de cloud bewaard, dus de verantwoordelijkheid voor databeveiliging ligt bij de cloud provider en security provider’
De privacywet geldt niet alleen voor bedrijven die data opslaan, maar ook voor ondernemingen die de data verwerken. Dat betekent dat de GDPR ook van toepassing is als een onderneming gebruikmaakt van externe providers voor gegevensopslag bij het verwerken van data.
Misverstand 6: ‘Mijn onderneming voldoet aan de privacywet, dus ze voldoet ook aan de GDPR’
De GDPR vervangt de databeschermingsrichtlijn, die in België is omgezet in de privacywet. De GDPR en de privacywet zijn echter in vele opzichten verschillend. Bijvoorbeeld verschillen in de wijze waarop de gebruiker toestemming moet verlenen voor de verwerking van zijn of haar data, en de manier waarop de gebruiker geïnformeerd moet worden bij datalekken. Wel is het zo dat het voldoen aan de privacywet zorgt voor een eenvoudigere overgang naar de GDPR.
Misverstand 7: ‘Mijn onderneming voldoet aan het Privacy Shield, dus we voldoen ook aan de GDPR’
Hoewel er veel overeenkomsten zijn tussen de regelgeving van het Privacy Shield (de overeenkomst tussen de EU en de Verenigde Staten in opvolging van de Safe Harbour-overeenkomst) en de regelgeving van de GDPR, zijn de twee systemen niet volledig gelijk. Het Privacy Shield heeft slechts betrekking op een van de vele onderwerpen van de GDPR, namelijk internationale datatransfers. Het Privacy Shield zegt bijvoorbeeld niets over gebruikerstoestemmingen, data protection officers en meer.
Misverstand 8: de GDPR is een all-inoplossing voor dataverwerking in Europa
De GDPR is bedoeld als een universele verordening die de regelgeving in Europa vereenvoudigt en eenmaakt. In de praktijk is dit echter niet het geval. Voor multinationals is de GDPR slechts een verordening naast een aantal andere. Zo zijn er bijvoorbeeld verschillende wettelijke regels over de meldingsplicht in geval van een datalek. Daarnaast moeten ondernemingen voldoen aan nationale privacyregels. Het wordt nog gecompliceerder als de GDPR tegenstrijdig blijkt te zijn met nationale of branbranchegerelateerde richtlijnen.
Fout opgemerkt of meer nieuws? Meld het hier