Op 14 april 2016 werd de Algemene Verordening op Gegevensbescherming definitief aangenomen door het Europese Parlement. Deze verordening vervangt vanaf de zomer van 2018 ook alle nationale wet- en regelgevingen rond gegevensbescherming. Organisaties hebben tot dan de tijd om aan deze wetgeving te voldoen.
De snelle technologische ontwikkelingen, globalisering en de omvang van het verzamelen en uitwisselen van persoonsgegevens zijn de katalysator voor deze nieuwe wetgeving. Europa wil dan ook een voorbeeldfunctie op dit vlak nastreven.
Wat dit nu precies allemaal betekent, is voor velen nog onbekend terrein. 2018 lijkt ver weg, maar bedrijven zullen die tijd zeker nodig hebben om gepaste maatregelen te treffen om aan de ver reikende eisen te kunnen voldoen.
De EU verordening heeft betrekking op de verwerking, onderhoud, opslag, distributie en verwijdering van persoonsgegevens door alle ondernemingen die een of andere handeling uitvoeren op persoonlijke gegevens. Alle actoren in de end-to-end data flow hebben een gedeelde verantwoordelijkheid.
‘Persoonlijke gegevens’ slaat op alle informatie met betrekking tot een natuurlijke persoon, zowel gestructureerde als ongestructureerde gegevens in elektronische of ander formaat.
Zo hebben natuurlijke personen enkele verregaande rechten verworven: het recht om “vergeten” te worden en “inzage” op welke data een organisatie bijhoudt. Organisaties die in het verleden al stappen ondernomen hebben in het opzetten van gepaste informatie & data governance, hebben voorsprong op organisaties die daar nu pas mee moeten starten. De inspanningen en maatregelen zijn immers niet alleen van technologische aard.
Organisaties moeten van begin tot einde in hun product of service life cycle rekening houden met nieuwe principes, met name “Privacy by Design” en “Privacy by default”. Een legal check bij het opstarten van een activiteit of project zal dan ook geen overbodige luxe blijken. Organisaties moeten ook voldoen aan een uitgebreide documentatieplicht waarbij het governance proces gedocumenteerd wordt en “te allen tijde” ter beschikking moet zijn voor de Privacy Commissie als toezichthoudend orgaan.
Naast governance maatregelen moeten er ook technologische maatregelen voorzien worden om de veiligheid te garanderen en inbreuken op persoonsgegevens te verhinderen. Een hele uitdaging in een steeds vlugger evoluerend technologielandschap.
Heel wat organisaties springen op de boot van “Big Data”, “Internet of Things”, “cloud” en “mobile toepassingen”. De tijden dat een persoon, zonder dit goed te beseffen, impliciet toestemming geeft op een of andere verborgen privacy policy ergens op een website zijn voorbij. De partij die deze nieuwe technologieën implementeert moet hierbij steeds een “Privacy Impact Assessment” opstellen.
De verantwoordelijkheden reiken heel ver. Zo kan ook de opdrachtgever zelf van dergelijke implementatieprojecten aansprakelijk gesteld worden indien hij een partij (consultants, verwerkers, …) kiest die niet de nodige garanties geboden heeft op vlak van data protection.
De meeste organisaties zullen ook verplicht zijn om een nieuwe “rol” aan te duiden, namelijk een Data Protection Officer (DPO), die advies verleent en de nodige maatregelen nakijkt. Deze rol mag zowel door iemand intern als extern opgenomen worden, zolang die maar voldoende armslag heeft om de nodige veranderingen te laten gebeuren binnen de organisatie. De DPO heeft de plicht om data breaches te melden bij de toezichthoudende instanties.
Organisaties die tijdig gepaste maatregelen nemen en heel transparant zijn in hun data handling, zullen concurrentieel voordeel kunnen realiseren ten opzicht van organisaties die eerder als “untrusted” ervaren worden. Organisaties die niet aan deze richtlijn voldoen, zullen dan ook zware boetes krijgen.
Wees je ervan bewust dat dit alles slechts het topje van de ijsberg is. Er staan boeiende tijden voor de boeg!
Meer weten over de acties die nodig zijn om in regel te zijn met de nieuwe EU regulering? Contacteer onze experten of vraag naar onze gecertifiëerde DPO's.
Dank aan Regine Dhaene voor haar input bij het samenstellen van dit artikel.