privacy

Article

De nieuwe privacy-voorschriften – Voor elke onderneming en niet enkel voor de bits en bytes

KMO-update

Op vandaag zijn slechts weinig KMO’s actief en bewust bezig met privacy. Nochtans moet elke onderneming die persoonsgegevens verwerkt zich naar de privacy-regels schikken. En dat zijn er meer dan men op het eerste zicht zou kunnen denken. Aangezien de term “persoonsgegevens” slaat op élke informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, zal zowat iedere onderneming de privacy-voorschriften moeten respecteren.

Privacy is dus niet alleen van belang voor organisaties die van gegevensverwerking hun core business maken of voor bedrijven met de focus op e-commerce. Ook de KMO zonder webshop kan er niet omheen. KMO’s houden immers evenzeer klantenlijsten bij of maken gebruik van klantenkaarten om op die manier namen, adressen en e-mailadressen, telefoonnummers en zelfs voorkeuren van klanten te verzamelen.

Heel wat bedrijven sturen elektronische nieuwsbrieven uit naar ál hun contacten, zelfs diegenen die daartoe nooit toestemming hebben gegeven. Ook het aan- of verkopen van contactgegevens met marketingdoeleinden is lang geen uitzondering meer. Verder slaan KMO’s evengoed werknemersgegevens op of hangen ze camera’s op in de productiehal of het magazijn. Track & trace systemen in bedrijfsvoertuigen, badging en allerlei andere methodes voor tijdsregistratie zijn in heel wat KMO’s ingeburgerd. Ook hier komt de privacy in het gedrang.

Persoonsgegevens zijn bovendien big business geworden. Steeds meer bedrijven tracken surfgewoontes, slaan koophistorieken op, koppelen deze aan gegevens verzameld via sociale mediakanalen, voorspellen aan de hand hiervan het koopgedrag van potentiële klanten en verkopen deze waardevolle data voor marketingdoeleinden.

Deze evoluties staan tegenover de geldende privacy-wetgeving, die in België dateert van 8 december 1992 en niet meer is aangepast aan de hedendaagse privacy-issues. Heikel punt was onder meer de sanctionering van inbreuken op de privacy: verder dan het breed uitsmeren in de media van dergelijke schendingen, kwam het niet. De mogelijkheden om te sanctioneren waren te beperkt en de slachtoffers van privacy-inbreuken werden nauwelijks beschermd.

Reden genoeg voor Europa om actie te ondernemen en een nieuw regulerend kader te scheppen. Op 15 december 2015 bereikte de Europese Unie een akkoord omtrent de definitieve tekst van de nieuwe privacy-verordening, die alle nationale privacywetten zal vervangen tegen de zomer van 2018. Bescherming van persoonsgegevens en correct omgaan met deze gegevens is in het licht van de komende veranderingen zeer belangrijk geworden. Ondernemingen beginnen best nu al met de voorbereiding om de nieuwe regels na te leven.

Uitgangspunten bij de verzameling en verwerking van persoonsgegevens zijn proportionaliteit, rechtmatigheid en transparantie. Ondernemingen mogen niet meer gegevens opvragen dan noodzakelijk voor het doel waarvoor deze worden verzameld, deze data mogen bovendien niet langer bewaard worden dan nodig, de persoonsgegevens mogen enkel aangewend worden voor die doeleinden waarover de betrokkene vooraf is geïnformeerd en, in bepaalde gevallen, zelfs enkel indien de betrokkene hier uitdrukkelijk mee heeft ingestemd.

De nieuwe regelgeving creëert bijkomende verplichtingen op het vlak van de verwerking van persoonsgegevens. Zo moet binnen een onderneming een eindverantwoordelijke voor de privacy aangesteld worden en moet het personeel dat met persoonsgegevens in contact komt, de nodige opleiding krijgen hoe hiermee om te gaan en bewust gemaakt worden van de noodzaak tot bescherming van de privacy. Ook krijgt ieder individu het “recht om vergeten” te worden, een beslissing die de onderneming moet respecteren.

Belangrijk hierbij is dat elke onderneming zélf verantwoordelijk is voor de naleving van de privacy-voorschriften. Immers, in geval van een datalek bijvoorbeeld, is de betrokken onderneming verantwoordelijk, zelf al werd de gegevensverwerking aan een derde partij toevertrouwd.

Elke onderneming die persoonsgegevens verwerkt, moet gedocumenteerd kunnen aantonen dat zij de nodige inspanningen levert ter bescherming van de privacy en dat zij actief streeft naar een correcte verzameling, verwerking en gebruik van persoonsgegevens.

Dit kan door de gegevensstromen binnen de onderneming eerst en vooral in kaart te brengen: hoe en waar komen persoonsgegevens binnen, waar ze worden bewaard, wie heeft toegang, tussen wie ze worden uitgewisseld en hoe lang worden ze bijgehouden? Op basis van dit overzicht dient nagegaan te worden waarvoor deze gegevens allemaal worden gebruikt: enkel voor de uitvoering van bestellingen of ook nog daarna, voor direct marketing? Worden deze gegevens verkocht aan derden? En vooral, worden de privacy-voorschriften bij dit alles wel nageleefd?

Eens de onderneming een duidelijk beeld heeft van de gegevensstromen en de mogelijke privacy-risico’s in dit kader, kan een strategie opgemaakt worden met duidelijke actiepunten en een concreet plan om deze vooropgestelde acties ook effectief te implementeren.

Daarnaast kunnen ondernemingen hun inspanningen op privacy-vlak ook documenteren door het uitwerken van interne gedragscodes, het opleiden van het personeel en het creëren van de nodige bewustwording in het kader van de privacy, het implementeren van een procedure in geval van een datalek, het informeren van de betrokkenen over het gebruik van hun persoonsgegevens via een privacy policy, het sluiten van geheimhoudingsovereenkomsten met externe dienstverleners die met deze gegevens in contact komen, enz.

Grote wijziging is dat nu ook strenge sancties voorzien zijn voor het niet-naleven van de privacy-voorschriften. Zo kunnen administratieve boetes opgelegd worden die kunnen oplopen tot 4 procent van de wereldwijde jaaromzet van de betrokken onderneming. Verder zijn de actiemogelijkheden voor gedupeerden aanzienlijk uitgebreid. Ook de impact van reputatieschade wegens schendingen van de privacy is niet te onderschatten en wordt beter vermeden.

Dat de privacy-voorschriften dit keer geen dode letter zullen blijven, is duidelijk. De tijd dat KMO’s de privacy-reglementering quasi ongestoord naast zich neer konden leggen, is definitief voorbij. Ondernemingen, en dus ook KMO’s, weten dan ook best waar ze staan en welke stappen verder geïmplementeerd moeten worden om privacy compliant te zijn.

Elke Debeer – Legal Department

Gepubliceerd op 10/05/2016

Did you find this useful?