‘De nieuwe Europese privacywet blijft geen dode letter’
De nieuwe Europese privacywetgeving wordt op 25 mei van volgend jaar van kracht. Dat lijkt nog lang, maar de bedrijven kunnen maar beter nu al met de voorbereiding beginnen. Geen enkel bedrijf ontkomt er aan. Wie er niet aan voldoet, mag een zware boete verwachten.
Op 25 mei 2018 verdwijnen de verschillen in privacywetgeving tussen de Europese lidstaten, alles wordt dan op een en dezelfde Europese lijst geschoeid. De gedateerde privacyrichtlijnen werden bijgestuurd en geharmoniseerd om de burgers beter te beschermen. Op die manier krijgen ze meer controle over wat er met hun gegevens gebeurt.
Dat is goed nieuws voor de consumenten, die van dan af toestemming moeten geven vooraleer bedrijven hun gegevens kunnen gebruiken. Ook ‘het recht om vergeten te worden’ zal dan gelden.
Voor de bedrijven is er werk aan de winkel. Mei 2018 lijkt veraf, maar schijn bedriegt. De geactualiseerde privacywet vergt een grondige voorbereiding. Lijdzaam toezien is niet aan de orde. Volgens Edwin Jacobs, advocaat bij time.lex, kunnen ondernemers zich beter nu al voorbereiden. Bovendien bestaan er heel wat misverstanden over de nieuwe Europese privacywet.
Waarom komt er een nieuwe Europese privacywet?
Jacobs: De ‘oude’ wetgeving van 1995 werd in vele Europese lidstaten op een verschillende manier omgezet in nationaal recht en ook anders geïnterpreteerd. Dat heeft vaak tot onduidelijkheid geleid voor ondernemingen die in verschillende landen actief zijn. Bovendien was de nieuwe wetgeving nodig om nieuwe ontwikkelingen, zoals cloud computing, big data, mobiele ontwikkelingen en sociale media, te regelen.’
Volgens u bestaan er nogal wat misverstanden. Om te beginnen kan er begripsverwarring ontstaan. Wat is bijvoorbeeld het verschil tussen de privacywet en de GDPR (general data protection regulation), ook wel de Europese Algemene Verordening Persoonsgegevens (AVG) genoemd?
Jacobs: “De GDPR vervangt de databeschermingsrichtlijn, die in België is omgezet in de privacywet. De GDPR en de privacywet zijn echter in vele opzichten verschillend, bijvoorbeeld in de mate waarin de gebruiker toestemming moet verlenen voor het verwerken van zijn of haar data, en de manier waarop de gebruiker en de overheid geïnformeerd moeten worden bij datalekken. Maar wie voldoet aan de privacywet, kan zich wel gemakkelijker in regel stellen met de GDPR.”
Wat moeten bedrijven doen?
Jacobs: “Bedrijven moeten voldoen aan de wettelijke vereisten van de nieuwe privacywetgeving. Er komen belangrijke nieuwe verplichtingen. Meer nog, bedrijven moeten zelf kunnen bewijzen dat ze voldoen aan de GDPR. Ze zullen dus een en ander moeten documenteren en uitvoeren. ‘In orde zijn op papier’ volstaat niet. Vele bedrijven zullen ook een Data Protection Officer (DPO) moeten aanwijzen. Die is verantwoordelijk voor de toepassing van de GDPR. Dat mag een externe persoon zijn. Er zijn ook nieuwe verplichtingen in geval van een datalek.”
Hoe begin je er als bedrijf eigenlijk aan? Hoeveel tijd heb je nodig?
Jacobs: “Meten is weten. Het eerste wat je moet doen, is in kaart brengen op welke manier jouw onderneming op dit moment werkt. Dat kan vrij snel gaan, afhankelijk van de omvang en de activiteiten van de onderneming. Als je voordien al aandacht hebt besteed aan de privacywetgeving, verloopt de voorbereiding uiteraard vlotter. Vervolgens moet geëvalueerd worden wat er nog nodig is om volledig in orde te zijn met de GDPR. Een volledig traject neemt toch makkelijk enkele maanden in beslag. Hoe groter de onderneming, of hoe complexer de gegevensverwerking, hoe meer tijd je moet voorzien. Aangezien de deadline in mei 2018 afloopt, is 2017 hét jaar om er werk van te maken.”
Geldt de nieuwe wetgeving voor alle bedrijven?
Jacobs: “Ja. Hoewel er enkele toegevingen worden gedaan aan kleine ondernemers en kmo’s is de GDPR van toepassing op alle organisaties die persoonlijke data verwerken. De wijze waarop gegevens worden verwerkt is van belang, niet het aantal bestanden of de grootte van de onderneming.”
Is er een kans dat de nieuwe privacywet dode letter blijft?
Jacobs: “Nee, de Privacycommissie kan zware boetes opleggen. Bovendien kunnen concurrenten klacht indienen wegens oneerlijke marktpraktijken als een onderneming de GDPR niet respecteert. De Privacycommissie zal in dat verband nog actiever worden.”
Wat gebeurt er als een bedrijf de wet niet naleeft?
Jacobs: “Ondernemingen die niet voldoen aan de GDPR tegen mei 2018, kunnen boetes krijgen die oplopen tot 20.000.000 euro, of 4 procent van de wereldwijde jaaromzet. Omgekeerd wordt ook verwacht dat ondernemingen die wél voldoen aan de GDPR een concurrentieel voordeel krijgen.”
Fout opgemerkt of meer nieuws? Meld het hier