De kogel is door de kerk: instellingen EU bereiken consensus over Algemene Verordening Bescherming Persoonsgegevens

Vier jaar onderhandelen

Het heeft vier jaar onderhandelen gekost sinds de Europese Commissie in januari 2012 haar ambitieus hervormingspakket voor de bescherming van persoonsgegevens voorstelde, maar sinds afgelopen dinsdag 15 december is er een akkoord tussen de instellingen van de EU over de tekst van een nieuwe verordening. Deze Algemene Verordening Bescherming Persoonsgegevens (afgekort met het Engelse acroniem GDPR) vervangt de Richtlijn Bescherming Persoonsgegevens (95/46/EG) die sinds 1995 de materie van de bescherming van persoonsgegevens in de EU regelde. En laat ons wel wezen: de wijzigingen die de Verordening met zich meebrengt zijn aanzienlijk!

Verordening ipv Richtlijn

Wat onmiddellijk in het oog springt, is dat men gekozen heeft voor een verordening in plaats van een richtijn. Het gaat om een heel ander juridisch instrument uit het arsenaal van de Europese wetgever. De bepalingen van de Verordening hebben namelijk directe werking in de Lidstaten zonder dat zij deze moeten omzetten, wat betekent dat men een hoger niveau van harmonisatie kan nastreven. De idee is immers om te komen tot een meer coherente toepassing van het gegevensbeschermingsrecht in al de Lidstaten van de EU.

De belangrijkste wijzigingen

Uiteraard is niet enkel de vorm gewijzigd, maar ook de inhoud kreeg een verregaande opfrisbeurt. De belangrijkste hierbij zijn ongetwijfeld

• het feit dat betrokkenen nu beter beschermd worden,
• een breder territoriaal bereik van de regelgeving nu ook ondernemingen gevestigd buiten de EU die hier diensten aanbieden onder het toepassingsgebied vallen,
• specifieke bescherming voor kinderen,
• een uitgebreider recht op vergetelheid,
• het creëren van een algemene meldplicht voor datalekken,
• de verplichting voor heel wat bedrijven om een data protection officer of DPO aan te stellen,
• het mogelijk maken van gegevensbeschermingscertificering,
• een expliciet juridisch kader voor alternatieve instrumenten die het mogelijk maken om persoonsgegevens door te geven naar landen zonder een passend beschermingsniveau,
• meer bevoegdheden voor nationale gegevensbeschermingsautoriteiten, en
• sterkere afdwinging door (zeer) zware sancties op niet-naleving.

De lijst van aanpassingen is veel te uitgebreid om ze hier allemaal exhaustief weer tegeven, maar we zullen hier regelmatige nieuwe updates posten die wat diepgaander op bepaalde wijzigingen inzoomen. Keer dus zeker regelmatig terug.

Voor de geïnteresseerden, vindt u hier de volledige tekst van de verordening.