Pers

GDPR

2018: Europese privacy wetgeving wordt strenger

 

In mei 2018 treedt de nieuwe Europese verordening omtrent dataproctectie (General Data Protection Regulation) in voege.

 

1 Waarom een nieuwe Europese regelgeving over dataprotectie?

De nieuwe regels komen er omdat de huidige richtlijn (Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995) al in 1995 in werking is getreden. In die periode stond het internet nog in zijn kinderschoenen en was er nog geen sprake van social media en big data.

 

2 Voor wie geldt de nieuwe regelgeving?

De verordening is zowel van toepassing op een naamloze vennootschap, op een vzw als op een éénmanszaak Kortom: op iedereen die gegevens bijhoudt.

 

3 Wat verandert er vanaf mei 2018?

De basis van de bestaande richtlijn blijft behouden, maar er komen nieuwe, strengere bepalingen. De verordening biedt meer transparantie voor de data-subjecten zowel in b-to-c als in b-to-c. Dat maakt het voor de bedrijven zwaarder om de regels toe te passen.

 

De consument krijgt een aantal extra rechten. Naast de bestaande rechten (op toegang, op verbetering, op verzet) komen er het recht om vergeten te mogen worden, op beperking van verwerking en op data-overdraagbaarheid.

 

Voor de bedrijven en organisaties die met data werken is een aantal verplichtingen strikter geworden. Een van die verplichtingen is accountability (verantwoordelijkheid). Een bedrijf zal moeten bewijzen dat het de verordening naleeft. Die accountability wordt doorgetrokken naar de verwerkers van de data, bijvoorbeeld een IT-bedrijf, een call-centre of in het geval van gepersonaliseerde product media (bekers, T-shirts, caps) de drukkerij die voor die opdracht een bestand krijgt toegestuurd.

 

4 Wat moeten bedrijven doen?

4.1 Data mapping

Bedrijven, verenigingen of instanties kunnen best een inventaris maken van alle gegevens die momenteel in het bezit zijn. In de inventaris moeten ook de privacy policy, de opt-in- en opt-out-formuleringen en -aanvragen, de implementatie van de opt-in en opt-out en de bronnen van de gegevens opgenomen worden.

 

4.2 Processen

Bedrijven moeten processen installeren om de veiligheid van de gegevens te waarborgen. De data moeten beschermd worden tegen ‘breach’ (ongeautoriseerde toegang). Bij het beschermen van de toegang tot de data is het niet voldoende om een log-in te geven aan personen die een databestand mogen openen. De data mogen niet onmiddellijk of zoals dat heet in ‘klare taal’ beschikbaar zijn. Ze moeten in een versleutelde vorm aanwezig zijn. Ook moet er een detectiesysteem zijn om een data breach te kunnen ontdekken. Zo’n lek moet binnen 72 uur na het ontdekken gemeld worden bij de privacy-commissie.

Er moeten ook contracten zijn met de verwerkers van de data en die overeenkomsten moeten aangepast worden aan de nieuwe regelgeving.

 

4.3 Data protection officer

In de regeling is voorzien dat bedrijven een data protection officer (DPO) moeten aanstellen. Die persoon moet erop toezien dat het privacybeleid van een onderneming of instelling in overeenstemming is met de nieuwe verordening. Hij of zij is ook de contactpersoon met de privacy-commissie. Zo’n functionaris moet extern zijn. Als er iemand intern wordt aangeduid is er immers een belangenconflict en kan die persoon niet onafhankelijk functioneren.

 

4.4 Bewaartermijn

Consumenten- en klantendata mogen niet langer bewaard worden dan noodzakelijk is. Die periode kan van doeleinde tot doeleinde verschillen.

 

5 Profiling in marketing

Marketeers kunnen op basis van segmentatie en analyse van profielen groepen consumenten contacteren. De consument heeft daar een recht op verzet. Bij ‘echte’ profiling, waarbij er sprake is van ‘juridische effecten’ op het data-subject heeft de consument het recht op beroep.

 6 Sancties

Wie zich niet aan de regels van de verordening houdt, kan sancties verwachten. De boetes kunnen gaan tot 20 miljoen euro of 4% van de wereldwijde omzet van een bedrijf. In de huidige directieve is er sprake van een strafrechtelijke sanctie maar vanaf 25 mei 2018 zal dat een administratieve sanctie zijn.