Op 15 december 2015 werd door de EU na vier jaar intensieve voorbereiding eindelijk een akkoord bereikt over de definitieve tekst van een nieuwe verordening rond privacy. Dit is wat er zal veranderen:

Verstrekkende gevolgen voor ondernemingen

U kan er dus niet meer om heen: we staan voor een ingrijpende wijziging van het privacy landschap in Europa met verstrekkende gevolgen voor alle ondernemingen. Dit is wat er precies zal veranderen:

  • Een “one-stop-shop” mechanisme dat individuen (zoals uw klanten, leveranciers, werknemers, …) toelaat klachten in te dienen omtrent misbruik van hun persoonsgegevens bij de beschermingsautoriteit van hun eigen land, eerder dan daar waar een onderneming gevestigd is.
  • Een verplichting voor bedrijven om gegevenslekken binnen de 72 uur na ontdekking te melden.
  • Aanstelling van een ‘Functionaris voor Gegevensbescherming’ (Data Protection Officer) door bepaalde ondernemingen.
  • Individuen krijgen een recht om vergeten te worden, d.w.z. dat u als onderneming onder bepaalde omstandigheden verplicht wordt persoonsgegevens te wissen.

Regels van kracht vanaf 2018

Ondernemingen moeten privacy dus beschouwen als een reëel risico, met belangrijke implicaties zowel voor de werking van hun business als voor hun reputatie. Daarom zullen ondernemers de regels vrij snel dienen te implementeren. De nieuwe verordening krijgt immers rechtstreekse werking en zal rond de zomer van 2018 in heel Europa van toepassing zijn. 

In België komen er al sneller aanpassingen

Staatssecretaris Bart Tommelein kondigde echter reeds aan dat hij voor een aantal maatregelen niet zal wachten tot dit tijdstip. Hij werkt nu aan een wetsvoorstel dat de bevoegdheden van de Belgische Privacycommissie dit jaar nog moet uitbreiden en haar meer armslag moet geven. Zij moet een pro-actief, oordelend orgaan worden, dat rechtstreeks sancties kan opleggen waar nodig.

Wist u dat:

  • Uw onderneming zelf verantwoordelijk is voor de naleving van de privacy reglementering en dat u zal moeten kunnen aantonen dat uw onderneming de privacy wetgeving naleeft?
  • Individuen zich gaan kunnen verenigen en collectieve vorderingen instellen via representatieve organen, zoals consumenten beschermingsorganisaties, om hun privacy rechten af te dwingen?
  • De privacy commissie rechtstreekse bevoegdheden krijgt, waaronder de bevoegdheid uw onderneming te onderwerpen aan een audit en rechtstreekse boetes zal kunnen opleggen?
  • Deze boetes kunnen oplopen tot €20.000.000 of 4% van de wereldwijde jaaromzet van uw onderneming?

Conclusie

De conclusie is dus duidelijk: de privacywetgeving zal deze keer geen dode letter blijven en indien uw onderneming niet ‘privacy compliant’ is loopt zij ernstige risico’s.

Een goede strategie rond privacy en gegevensbescherming, privacypolicies en -procedures, documentatie van verwerkingen van persoonsgegevens, gedocumenteerde trainingen, risicoanalyses, goede contracten rond data transfers en auditstrategieën spelen nu meer dan ooit een cruciale rol. Benieuwd waar de knelpunten voor uw onderneming liggen en hoe u hier best mee omgaat? Neem vrijblijvend contact op.