Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (hierna de “GDPR” ) in werking en vervangt zij de huidige Belgische Privacywet (wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens). In tegenstelstelling tot de huidige Privacywet, die een omzetting vormt van een richtlijn, is de GDPR rechtstreeks toepasselijk in alle lidstaten. Met deze rechtstreekse werking wil de Europese Commissie de veiligheid van data bevorderen door regels vast te stellen betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. Hierbij gaat het voornamelijk om het beschermen van persoonlijke informatie van Europese inwoners, maar ook om het regelen van doorgifte van persoonlijke data buiten de Europese unie (zogenaamde “derde landen”). De nieuwe wetgeving heeft tot gevolg dat de huidige fragmentatie van privacywetten in Europe een halt wordt toegeroepen en komt tegemoet aan de nood tot modernisering ingevolge ontwikkelingen zoals de ‘Cloud’ en sociale media (en de enorme hoeveelheden data die daarmee gepaard gaan).
Vanaf de inwerkingtreding zullen bedrijven die persoonsgegevens verwerken[1] moeten voldoen aan de nieuwe bepalingen zoals voorzien in de GDPR. Met persoonsgegevens wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden (e.g. naam, adres, telefoonnummer, e-mailadres, foto’s, etc).
De GDPR steunt op 4 pijlers, zijnde:
- Transparantie: bedrijven moeten betrokkenen duidelijk en ondubbelzinnig informeren hoe identificeerbare data wordt verzameld, op welke manier ze worden verwerkt, voor welke doeleinden, hoe lang (bepaalde) gegevens worden bijgehouden, en dat op een begrijpelijke manier. Bijkomend dienen klanten of gebruikers ook toegang te krijgen tot hun persoonsgegevens en de moeten zij de mogelijkheid hebben om deze data aan te passen of te verwijderen;
- Data-overdracht: bedrijven moeten ervoor zorgen dat gebruikers hun gegevens makkelijk kunnen opvragen om naar een andere dienstverlener over te schakelen (g. bij het veranderen van elektriciteitsleverancier of telecomoperator);
- Recht om vergeten te worden: bedrijven zijn verplicht om gegevens van Europese burgers te wissen wanneer de betrokkene in kwestie dat vraagt. Voornoemde is eveneens van toepassing indien de persoonsgegevens inmiddels al gedeeld zijn met derden (behoudens enkele in de GDPR voorziene uitzonderingen); en
- Meldplicht bij datalekken: binnen de 72uur nadat wordt vastgesteld dat er zich een datalek heeft voorgedaan, moet het bedrijf de toezichthoudende autoriteit en/of de betrokkene hieromtrent informeren. Bijgevolg is het belangrijk dat ieder bedrijf voldoende aandacht schenkt aan het uitwerken van een plan indien een datalek zich zou voordoen, alsook aan het uitwerken van preventieve maatregelen (g. versleutelen van data zoals anonymisering, pseudonimisering, regelmatig backuppen van data, penetratietesten uitvoeren, etc).
Om ervoor te zorgen dat bedrijven compliant zijn met bovenvermelde pijlers, is het belangrijk dat bedrijven zelf een oefening maken waarin ze oplijsten welke persoonsgegevens ze verzamelen, waar ze deze verzamelen, hoe deze beschermd en verwerkt worden. Hiervoor is het voor bepaalde bedrijven aangeraden om een ‘Data Protection Officer’ aan te stellen.
De GDPR heeft een nieuwe Gegevensbeschermingsautoriteit in het leven geroepen, en belangrijke bevoegdheden toegekend om de correcte naleving van de bepalingen van de GDPR te verzekeren. Deze nieuwe ‘instelling’ bestaat uit diverse organen, waaronder een inspectiedienst en geschillenkamer. Hierbij kan een onderzoek worden opgestart (i) op basis van een enkele klacht van een particulier, (ii) op vraag van een toezichthoudende autoriteit van een andere lidstaat, of (iii) op vraag van de gerechtelijke en administratieve diensten.
Bedrijven die niet compliant zijn met de GDPR kunnen zware sancties oplopen. Indien bedrijven bij de verwerking van persoonsgegevens de vooropgestelde regels niet naleven, een datalek niet wordt gemeld of het bedrijf geen risico-assessments houdt, kunnen boetes oplopen tot 2% van de jaarlijkse omzet. Boetes kunnen stijgen tot 4% van de wereldwijze omzet, met een maximum van 20 miljoen euro (welke kan worden verdubbeld in geval van samenloop van verschillende inbreuken).
[1] een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens