privacy

Article

Privacy compliance: EU keurt tekst nieuwe privacy-verordening goed!

KMO-update

Vorig jaar kondigden we al aan dat Europa aan nieuwe regelgeving rond privacy en (de bescherming van) persoonsgegevens werkt. Op 15 december 2015 werd door de EU na vier jaar eindelijk een akkoord bereikt omtrent de definitieve tekst van de privacy-verordening.

Wij kunnen er dus niet meer om heen: door het akkoord over de finale tekst staan we voor een ingrijpende wijziging van het privacy landschap in Europa en dus ook in België.

De belangrijkste wijzigingen zijn de volgende: Een “one-shop” mechanisme zal ervoor zorgen dat individuen klachten kunnen indienen aangaande misbruik van hun persoonsgegevens bij de gegevensbeschermingsautoriteit van hun eigen land, eerder dan daar waar een onderneming gevestigd is. Individuen zullen zich kunnen verenigen en collectieve vorderingen instellen via representatieve organen, zoals consumentenbeschermingsorganisaties.

Bedrijven zullen verplicht zijn gegevenslekken binnen de 72 uur na ontdekking te melden. Bepaalde ondernemingen zullen verplicht een Functionaris voor Gegevensbescherming moeten aanstellen. Individuen hebben een recht om vergeten te worden, d.w.z. dat een onderneming onder bepaalde omstandigheden verplicht zal zijn persoonsgegevens te wissen.

Maar de voornaamste gemene deler is de sterke nadruk op “accountabilty” (rekenschap en verantwoording): een onderneming is zelf verantwoordelijk voor de naleving van de privacywetgeving en zal dit ook moeten kunnen aantonen. Privacy- en informatiebeschermingspolicies en -procedures, documentatie van verwerkingen van persoonsgegevens, gedocumenteerde trainingen, risicoanalyses, gegevensbeschermings- en auditstrategieën spelen hierbij een cruciale rol. De nieuwe wetgevende regels zorgen er dus voor dat we meer moeten spreken over data privacy governance.

Indien een onderneming de voorgestelde regels niet naleeft of overtreedt, zal zij het risico lopen op een boete tot € 20.000.000 of 4% van de wereldwijde jaaromzet van die organisatie. Dat de privacywetgeving deze keer geen dode letter zal blijven, is duidelijk.

Staatssecretaris Bart Tommelein kondigde reeds aan dat hij voor een aantal maatregelen niet zal wachten tot het tijdstip waarop de verordening rechtstreeks in werking treedt (voorlopig voorspelde datum: zomer 2018). Hij werkt nu reeds aan een wetsvoorstel dat de bevoegdheden van de Belgische Privacycommissie dit jaar nog moet uitbreiden en haar meer armslag moet geven. Zij moet een pro-actief, oordelend orgaan worden, dat rechtstreeks sancties kan opleggen waar nodig.

Bedrijven moeten privacy dus beschouwen als een belangrijk risico dat ze in aanmerking moeten nemen, zowel voor de werking van hun business als voor hun reputatie, en de nodige maatregelen rond privacy tijdig implementeren.

Joëlle Vermeulen – Legal Department

Gepubliceerd op 12/02/2016

Did you find this useful?