De GDPR blaast 2 kaarsjes uit

Lang zal ze leven, de Algemene Verordening Gegevensbescherming (‘AVG’ of ‘GDPR’). Op 25 mei 2020 is de GDPR alweer 2 jaar in werking. Een goed moment om een tussentijdse balans op te maken en terug te kijken wat we in deze periode geleerd hebben.

De Gegevensbeschermingsautoriteit – stilte voor de storm

Wie een storm aan beslissingen en boetes verwachtte na de inwerkingtreding, kwam van een kale reis thuis. Het duurde immers een tijd vooraleer (het bestuur van) de nieuwe Belgische toezichthouder vorm kreeg en bijgevolg ook totdat de eerste beslissingen door de Geschillenkamer genomen werden.

Dit had tot gevolg dat de gemiddelde KMO niet overtuigd was van het belang van privacy in de onderneming.

… maar intussen gaan de boetes in crescendo

Inmiddels hebben we al een aantal boetes zien passeren: twee burgemeesters en een kandidaat voor gemeentelijke verkiezingen die persoonsgegevens voor een oneigenlijk doel aanwendden, een drankenhandel die te veel persoonsgegevens verzamelde voor het aanmaken van een klantenkaart, een website voor een incorrect cookiebeleid en een organisatie voor verpleging voor het niet afdoende honoreren van de rechten van betrokkenen.

Bovendien schakelde de Gegevensbeschermingsautoriteit de voorbije maand een versnelling hoger met drie boetes van telkens 50.000 EUR: een telecom provider voor de belangenconflicten omtrent de positie van DPO, een social media platform voor het foutief toepassen van de regels omtrent uitdrukkelijke toestemming en een verzekeringsmaatschappij voor het hanteren van een incorrecte juridische grondslag en het onvoldoende transparant karakter van het privacybeleid. 

Het is duidelijk dat het de Gegevensbeschermingsautoriteit menens is.

Wat kan de KMO hieruit leren?

Een KMO moet over volgende dingen nadenken als het op privacy aankomt:

• Doe uw huiswerk: houd de compliance documenten up-to-date (register van verwerkingsactiviteiten, extern en intern privacy beleid, dataverwerkingsovereenkomsten, etc.);
• Houd privacy in leven in de onderneming: privacy moet één van de eerste zorgen zijn bij (nieuwe) bedrijfsprocessen. Bovendien is de awareness van uw medewerkers cruciaal.
• Tevreden klant: door privacy compliance zal u het vertrouwen van uw klant in uw onderneming versterken. Dit uit zich bijvoorbeeld in correcte en transparante communicatie in geval van een verzoek door een klant tot de uitoefening van één van haar privacy-rechten (bijvoorbeeld het uitschrijven op een nieuwsbrief).
• Privacy als verkoopstroef: zowel in een b2b-context (denk maar aan multinationals, overheden die van privacy compliance een harde eis maken) als in een b2c-context (uw tevreden klant) kan u ervoor zorgen dat de privacy compliance van uw onderneming het verschil maakt ten opzichte van uw concurrent.
• Cyber security beleid:
  • Ook hier is de awareness van uw medewerkers cruciaal: waar moet een werknemer aandacht aan besteden (bv: wachtwoorden die aan de normen voldoen, confidentialiteit); weten zij welke acties ze moeten nemen in geval van een security incident (phishing, datalek, etc.), is er een procedure uitgeschreven die ze kunnen volgen, etc.?
  • Technische en organisatorische maatregelen: dit is niet enkel van belang voor de privacy van de gegevens van uw klanten/medewerkers maar evenzeer voor de continuïteit van uw bedrijfsvoering.. Zonder de nodige maatregelen zou uw bedrijf zomaar een slachtoffer kunnen worden van zogenaamde ransomware.

De boodschap is duidelijk: privacy in de onderneming is niet enkel a multinational’s game.

Maak van privacy één van uw troeven in plaats van een kostenpost.

De medewerkers van het business & commercial law team zijn steeds bereikbaar om hierover met u van gedachten te wisselen.