GDPR europa

Het is eindelijk zover: Europa’s nieuwe datawet is van kracht. Wat verandert er voor bedrijven?


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox! 

Alleen wie het afgelopen jaar als een kluizenaar heeft geleefd moet het ontgaan zijn: vanaf vandaag treedt in de Europese Unie de General Data Protection Regulation (GDPR) in werking. Ongetwijfeld heb je ondertussen al een stapel e-mails ontvangen van bedrijven die je in het kader van de GDPR informeren over hun privacybeleid of je toestemming vragen om je nog mails te sturen. De nieuwe wetten gelden in alle lidstaten en voeren enkele belangrijke veranderingen door in hoe bedrijven met data moeten omgaan.

 

De GDPR werd in 2016 al formeel aangenomen door de Europese instanties, maar bedrijven kregen tot 25 mei 2018 de tijd om zich aan te passen. Dat was ook nodig, want de GDPR hanteert een erg brede definitie van data verzamelen, waardoor zowat elke organisatie onder de regels valt. Officieel moet elke organisatie die persoonsgegevens van Europese inwoners bewaart ervoor zorgen dat het in regel is met de voorschriften. Dat roept twee vragen op: wat definieert de wet als ‘persoonsgegevens’, en wat zijn die voorschriften?

 

Persoonsgegevens

 

Er zijn data die duidelijk onder de categorie persoonsgegevens vallen: een naam, adres, telefoonnummer, e-mailadres, foto’s… maar het omvat ook gegevens zoals een IP-adres of een alias op sociale media. Alles wat op een of andere manier teruggebracht kan worden tot een bepaald persoon valt onder de definitie van de GDPR.

[related_article id=”167961″]

Daarnaast onderscheidt de GDPR een ‘speciale’ categorie van gevoelige gegevens waarvoor extra voorwaarden gelden. Het gaat dan onder andere over data die de etnische oorsprong, seksuele geaardheid of politieke voorkeur van een persoon identificeert. De enige uitzonderingen zijn geanonimiseerde gegevens waarbij men ervoor gezorgd heeft dat een identiteit niet af te leiden valt, of data van overledenen.

 

De regels gelden bovendien ongeacht waar het bedrijf zich bevindt of waar de server staat die de gegevens verwerkt. Zodra het om data gaat van een Europese burger en men kan aantonen dat het bedrijf zich specifiek richt op deze burgers, moet men de procedures volgen die de GDPR oplegt.

 

De regels

 

De GDPR – In het Nederlands spreekt men ook over de Algemene Verordening Gegevensbescherming (AVG) – geeft consumenten nieuwe rechten en legt bedrijven meer verplichtingen op. De sleutelwoorden van het document zijn transparantie en verantwoordelijkheid. Bedrijven moet het duidelijker maken wat ze met persoonlijke data doen en waarom ze precies die verwerking doen. Tegelijkertijd zullen ze sneller in actie moeten schieten wanneer ze merken dat data werd gestolen of op een of andere manier gecorrumpeerd is. In dit artikel somden we de belangrijkste plichten voor bedrijven al op.

 

Elk bedrijf moet met zijn klanten zo transparant mogelijk communiceren over wat het met hun data doet en ook nadrukkelijk toestemming vragen voor de verwerking van data. Grote bedrijven die meer dan 250 werknemers hebben, moeten daarbovenop ook een logboek aanleggen waarin ze nauwkeurig informatie bijhouden over verwerkingen die ze doen met data. Daarnaast maakt de GDPR in bepaalde situaties ook de aanstelling van een Data Protection Officer verplicht.

[related_article id=”168496″]

Verder stelt de GDPR ook een meldingsplicht in voor datalekken. Een bedrijf dat ontdekt dat data van servers gecompromitteerd is, moet dat binnen de 72 uur aan de bevoegde instanties melden.

 

De stok

 

Uiteraard rekent de EU niet alleen op de goodwill van bedrijven om zich aan te passen aan de nieuwe principes. Het houdt een stevige stok achter de deur voor wie niet wil luisteren. Boetes voor het overtreden van de GDPR-regels kunnen oplopen tot 4 procent van de jaarlijkse omzet, met een maximumplafond van 20 miljoen euro. In België is het de Privacycommissie zijn die controles de bedrijven zal uitvoeren en eventueel boetes oplegt. Vanwege zijn nieuwe bevoegdheden is het overheidsorgaan omgevormd en heeft het ook een nieuwe naam gekregen: de Gegevensbeschermingsautoriteit.

 

Grote vissen

 

Het is een hele klus om een bedrijf in orde te brengen voor de GDPR, een taak die vele organisaties waarschijnlijk niet afgerond kregen voor de deadline vandaag. Daarnaast blijven bepaalde stipulaties van de wetteksten vaag, waardoor er een bepaalde mate van onzekerheid blijft voor bedrijven. Dat het lange tijd onduidelijk bleef hoe men de Belgische controles zou gaan uitvoeren, droeg ook bij tot de chaos.
In aanloop naar de officiële aanname van de GDPR heeft de Belgische staatssecretaris voor Privacy Philippe De Backer al meermaals gepoogd om meer helderheid te scheppen. Hij heeft daarbij duidelijk gemaakt dat men vanaf dag één in actie zal schieten om overtredingen aan te pakken, maar dat de pijlen van de Gegevensbeschermingsautoriteit voornamelijk op de grote dataverwerkers gericht zullen zijn. De plaatselijke sportclub of naaikring hoeft niet meteen een controle te verwachten.

 

Contact opnemen

 

Val je bij het lezen van dit nieuws uit de lucht over de GDPR, dan is nog niet alles verloren. Staatssecretaris Philippe De Backer: “Ik kan moeilijk geloven dat er een bedrijf in België is dat nog niet op de hoogte is van de nieuwe wetgeving die eraan zit te komen na alle inspanningen die we geleverd hebben. Moest dit toch het geval zijn […]: neem zo snel mogelijk contact op met de nieuwe Gegevensbeschermingsautoriteit. Daar zullen ze je graag verder helpen.” Je vindt de organisatie terug op www.gegevensbeschermingsautoriteit.be.