De Europese Commissie heeft de huidige Europese privacyrichtlijn gemoderniseerd in de Europese Privacy Verordening. Het is van cruciaal belang dat bedrijven weten wat er verandert op het gebied van privacy en verwerking van persoonsgegevens. De ict-vakbeurs Infosecurity zet de belangrijkste veranderingen, verplichtingen van de onderneming en rechten van de burgers als gevolg van de nieuwe Verordening op een rijtje.
De huidige Europese privacyrichtlijn, ook wel de Databeschermingsrichtlijn, dateert uit 1995. Dit was toen internet nog in kinderschoenen stond. Door de evolutie de laatste jaren ontstond het besef dat deze richtlijn aan herziening toe is. De Europese Commissie kwam dan ook met een gemoderniseerde wetgeving, de Europese Privacy Verordening. Deze nieuwe privacyregels zijn van toepassing in alle EU-lidstaten, en vervangen de huidige EU privacyrichtlijn alsook de nationale privacywetgevingen die de EU privacyrichtlijn implementeerden.
De Belgische privacywet was tot nu toe redelijk mild voor overtreders, de nieuwe EU Privacy Verordening brengt daar verandering in. Zo zijn de regels met betrekking tot het verwerken van persoonsgegevens strenger, is het sanctieapparaat uitgebreid en is het bedrag van de sancties is aanzienlijk verhoogd. De ict-vakbeurs Infosecurity zet de zes belangrijkste veranderingen in de wetgeving op een rijtje.
1. Toepasbaar buiten EU
De regelgeving is van toepassing op iedere organisatie gevestigd in de EU, zelfs indien de data-servers buiten de EU staan. Daarnaast is de regelgeving eveneens van toepassing op organisaties gevestigd buiten de EU, indien zij persoonsgegevens verwerken van personen die zich in de Europese Unie bevinden in de context van het aanbod van producten en diensten aan deze personen in de EU of indien zij gedrag van deze personen in de EU monitoren.
2. Transparant privacy-beleid
Uit de privacy policy van de gegevensverwerker moet duidelijk blijken welke persoonsgegevens er worden verwerkt en voor welke doeleinden, en dit in begrijpelijke taal. Tenzij een andere rechtsgrond van toepassing is, dient men de gebruiker dus te informeren over en zijn toestemming te vragen voor deze verwerking. Daarnaast zijn de verwerkers verplicht transparant te communiceren over de maatregelen die ze genomen hebben om de verzamelde persoonsgegevens adequaat te beveiligen.
3. Datalek: Meldings- en documentatieplicht
Indien er, ondanks de genomen wettelijke maatregelen, toch persoonsgegevens lekken, is men verplicht dit zonder onredelijke vertraging en, waar mogelijk, binnen de 72 uur nadat men ervan kennis heeft gekregen, te melden aan de toezichthouder. Hierbij moet een duidelijke omschrijving van het incident en de mogelijke gevolgen worden beschreven. Indien het waarschijnlijk is dat het datalek de bescherming van de persoonlijke levenssfeer van de betrokken burger sterk nadelig beïnvloedt, dient ook deze persoon ingelicht te worden.
Verder dienen organisaties alle verwerkingen die zij verrichten te documenteren. Er geldt evenwel een vrijstelling voor ondernemingen met minder dan 250 werknemers, tenzij de verwerking als risicovol geldt.
4. Data Protection Officer
Overheden, evenals bedrijven die als kernactiviteit het monitoren of profileren van personen hebben, of als kernactiviteit gevoelige gegevens verwerken, dienen een Data Protection Officer aan te stellen. Deze ziet erop toe dat de verwerking van de persoonsgegevens conform de regelgeving verloopt en rapporteert aan het management. Voor vragen omtrent het privacybeleid kan men als onderneming ook bij deze persoon terecht. Het nationale recht kan nog bijkomende verplichtingen vaststellen om een Data Protection Officer aan te stellen.
5. Sancties
De sancties voor niet naleving van de wetgeving werden sterk aangescherpt. Organisaties zijn zelf aansprakelijk voor de verwerking van de persoonsgegevens. Bij overtreding kunnen onder andere administratieve geldboetes tot 4 procent van de jaarlijkse wereldwijde omzet worden opgelegd. Een overtreding van de wet kan natuurlijk ook leiden tot imagoschade en schadevergoedingsplicht ten aanzien van de betrokken personen, evenals strafrechtelijke sancties.
6. Het recht om vergeten te worden
Burgers krijgen meer controle over hun persoonsgegevens, waaronder het recht om gewist te worden. Dit heeft implicaties voor bedrijven: de wijze waarop persoonsgegevens verwerkt worden moet hieraan aangepast zijn, alsook moet er rekening gehouden worden met de administratiekosten die hieraan verbonden zijn.
Seminarie Johan Vandendriessche
Computable.be is hoofd mediapartner van de drie gecombineerde ict-vakbeurzen Infosecurity.be, Storage Expo en The Tooling Event. Wie meer informatie wenst over deze nieuwe regelgeving, kan op Infosecurity.be terecht. Ondermeer Johan Vandendriessche, advocaat en gastprofessor UGent, gaat hier tijdens zijn seminarie ‘International transfers of personal data after the ECJ Schrems case and under the upcoming GDPR’ dieper op in.
Aanmelden voor de gecombineerde ict-vakbeurzen kan via de website van Infosecurity.be.