2017: hét jaar voor GDPR compliance

Geschreven door Bernd Fiten op , in de categorie Rules & regulations

Het jaar 2017 zal het laatste volledige jaar zijn waarin u uw onderneming kunt klaarstomen voor de Algemene Verordening Gegevensbescherming (of General Data Protection Regulation, GDPR) die in mei 2018 op iedereen die persoonsgegevens verwerkt van toepassing zal zijn.

Zoals wij al eerder berichtten op onze blog, brengt de GDPR nieuwe verplichtingen voor ondernemingen met zich mee. Aangezien het om een verordening gaat in plaats van een richtlijn, zullen de verplichtingen uit de GDPR rechtstreeks op uw onderneming van kracht zijn vanaf mei 2018.

Waarom is GDPR compliance zo belangrijk?

Ondanks dat er nog verschillende misverstanden zijn omtrent de GDPR, is GDPR compliance zeer belangrijk. Aan ondernemingen die niet voldoen aan de GDPR tegen mei 2018, kunnen zware geldboetes worden opgelegd. Daarnaast wordt ook verwacht dat ondernemingen die wél voldoen aan de GDPR, een concurrentieel voordeel zullen hebben.

Kennismaken met GDPR specialist »

Zware sancties bij een inbreuk

De GDPR zal de toezichthoudende autoriteit – de Privacycommissie in België – de bevoegdheid geven om een administratieve geldboete op te leggen. Deze geldboete kan behoorlijk oplopen:

  • Lichtste categorie: tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien die hoger is dan 10.000.000 euro.
  • Zwaarste categorie: tot 20.000.000 euro of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien die hoger is dan 20.000.000 euro.

Het gaat om maximale bedragen per categorie, maar de GDPR bepaalt wel dat de Privacycommissie ervoor moet zorgen dat de geldboete afschrikkend moet zijn. Met andere woorden, de geldboete dient zwaar genoeg te zijn zodat ook kapitaalkrachtige ondernemingen niet zomaar een inbreuk kunnen ‘afkopen’.

Daarnaast moet de geldboete ook doeltreffend en evenredig zijn. Daarom kunnen een aantal factoren de hoogte van de geldboete beïnvloeden, zoals:

  • De aard, de ernst en de duur van de inbreuk,
  • De opzettelijke aard van de inbreuk,
  • De categorieën van persoonsgegevens,
  • De genomen technische en organisatorische maatregelen,
  • De genomen maatregelen om de schade te beperken,
  • Eerdere inbreuken door de verwerkingsverantwoordelijke of de verwerker,
  • De wijze waarop de Privacycommissie kennis heeft gekregen van de inbreuk,
  • Etc.

Het komt erop neer dat uw onderneming zich bewust moet zijn van alle persoonsgegevens die verwerkt worden. Bijvoorbeeld, als uw onderneming gevoelige persoonsgegevens verwerkt zonder dat er aan de voorwaarden uit de GDPR is voldaan, dan zal de Privacycommissie een geldboete van de zwaarste categorie kunnen opleggen.

Daarnaast dient uw onderneming ook de rechten van betrokkenen te waarborgen, op straffe van een geldboete van dezelfde categorie. Deze rechten houden onder meer in dat:

  • De betrokkene duidelijke toestemming moet geven om persoonsgegevens te verwerken,
  • De betrokkene eenvoudig toegang moet hebben tot zijn persoonsgegevens,
  • De betrokkene het recht moet hebben om 'vergeten' te worden (bijvoorbeeld door het verwijderen van bepaalde zoekresultaten),
  • De betrokkene het recht moet hebben om bezwaar te maken,
  • De betrokkene gegevens moeten kunnen meenemen tussen verschillende dienstverleners.

De toezichthoudende autoriteit kan ook een geldboete van de zwaarste categorie opleggen in het geval van een inbreuk op de doorgifte van persoonsgegevens aan een ontvanger in een derde land. Dat kan enkel in bepaalde gevallen. Bijvoorbeeld, voor een doorgifte van persoonsgegevens aan een ontvanger in de Verenigde Staten, is het Privacy Shield akkoord van toepassing.

Daarnaast is het van belang dat u een betrouwbare verwerker kiest, want een verwerker die zelf niet GDPR compliant is, zou aanleiding kunnen geven tot een hogere geldboete.

Functionaris voor gegevensbescherming

Zoals wij al eerder schreven, is het mogelijk dat uw onderneming verplicht is om een functionaris voor gegevensbescherming (of data protection officer, DPO) aan te stellen. Als uw onderneming daartoe verplicht is, maar geen functionaris aanstelt – of een functionaris zonder de vereiste professionele kwaliteiten (expert zijn op het gebied van gegevensbeschermingswetgeving) – kan dat aanleiding geven tot het opleggen van een geldboete van de lichtste categorie. Het is toegestaan dat een externe functionaris wordt aangesteld, zoals een advocaat gespecialiseerd in privacyrecht.

Concurrentieel voordeel – Raising awareness

Naast het repressieve luik van geldboetes, is er ook een preventieve luik van voorlichting en bewustwording (of awareness raising) voorzien in de GDPR.

De bedoeling van de Europese wetgever is het creëren van een algemene bewustwording bij zowel het personeel binnen uw onderneming als bij het grote publiek. Daardoor zullen ondernemingen die GDPR compliant zijn, een concurrentieel voordeel hebben op zij die niet GDPR compliant zijn.

Met betrekking tot het preventieve luik speelt de functionaris voor gegevensbescherming een belangrijke rol binnen uw onderneming. Dit betekent concreet dat hij ervoor moet zorgen dat:

  • Het personeel zich bewust moet zijn van het privacyrecht door middel van trainingen;
  • Zij weten hoe te handelen bij een dreigende privacyinbreuk;
  • Zij verkiezen om een privacyinbreuk te melden, in plaats van te verzwijgen.

Advies bij GDPR compliance

Bent u in het nieuwe jaar toch nog niet gestart met het in kaart brengen van alle verwerkingen van persoonsgegevens binnen uw onderneming? Dan kan een privacyrecht advocaat van internationaal advocatenkantoor time.lex u daarbij helpen.

Neem vrijblijvend contact op »