De nieuwe privacyverordening gescreend!

Op 24 mei trad de nieuwe Privacyverordening in werking. Hoog tijd dus om de belangrijkste wijzigingen even op een rijtje te zetten. U heeft echter nog wel even om de nodige aanpassingen te verrichten. De nieuwe regeling zal immers maar van toepassing zijn vanaf 25 mei 2018. We sommen voor u alvast de belangrijkste wijzigingen op.

Sancties

Het is misschien wat ongebruikelijk om u onmiddellijk te wijzen op de in de verordening voorziene sancties, maar het helpt ongetwijfeld om uw aandacht vast te houden.

Met de verordening wordt de sanctionerende bevoegdheid van de toezichthoudende overheid (in België is dit de Privacycommissie) immers gevoelig uitgebreid. Waar de Privacycommissie vroeger een voornamelijk toezichthoudende bevoegdheid had, zal zij voortaan ook effectieve sancties kunnen opleggen onder de vorm van administratieve geldboeten. 

De vooropgestelde bedragen zijn aanzienlijk en kunnen - afhankelijk van de bepaling waarop een inbreuk werd gepleegd - oplopen van maximaal 10.000.000,00 EUR of 2% van de totale wereldwijde omzet, tot zelfs 20.000.000,00 EUR of 4% van de totale wereldwijde omzet.

Een belangrijke reden dus om de herziening van uw privacybeleid als prioritair in te plannen in de bedrijfsagenda van de komende twee jaar.

Nieuwe definities

De bestaande definities worden gevoelig uitgebreid en heel wat nieuwe termen worden nu ook uitdrukkelijk gedefinieerd. Zo verwijst de definitie van 'persoonsgegevens' voortaan ook naar 'online identificatoren' en 'genetische gegevens'.

De nieuwe definities spelen dan weer in op de wijzigingen in het digitaal landschap. Denk bijvoorbeeld aan de online analyses die erop gericht zijn om u publiciteit toe te zenden in functie van uw surfgedrag. 'Profilering' en 'pseudonimisering' zijn enkele van deze nuttige nieuwkomers.

Rekenschap van de verwerkingsverantwoordelijke

De verordening bepaalt dat de verwerkingsverantwoordelijke moet voorzien in een passend gegevensbeschermingsbeleid en legt daarmee de bal in uw kamp. Hoe dit beschermingsbeleid er in detail moet uitzien wordt niet omschreven, maar er worden wel heel wat sleutels aangereikt en criteria vooropgesteld.

Zo moeten onder meer de volgende maatregelen worden genomen, ter beveiliging van de verwerking en afgestemd op het concreet risico:

  1. pseudonimisering van persoonsgegevens;
  2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  3. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens te herstellen;
  4. een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
  5. ...

Meldingsplicht

Stelt u in uw onderneming een gegevenslek of een andere inbreuk vast, dan heeft u voortaan de plicht om dit te melden. Dit zal bijvoorbeeld het geval zijn wanneer uw klantenbestand werd gehackt.

Dergelijke inbreuken moeten binnen de 72u nadat u er kennis van heeft genomen gemeld worden aan de toezichthoudende autoriteit (in België is dit de Privacycommissie), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Haalt u deze termijn niet, dan moet uitdrukkelijk gemotiveerd worden waarom de mededeling later werd verricht. Ook de betrokkene(n) dien(t)(en) op de hoogte te worden gebracht.

 een gegevenslek dient u te melden binnen de 72 u nadat u er kennis van heeft genomen

een gegevenslek dient u te melden binnen de 72 u nadat u er kennis van heeft genomen

Register van verwerkingsactiviteiten

Heeft uw onderneming meer dan 250 personen in dienst, dan dient u een register van verwerkingsactiviteiten bij te houden waarin onder meer de volgende gegevens moeten worden opgenomen:

  1. de contactgegevens van uw bedrijf;
  2. de reden waarom u persoonsgegevens verzamelt;
  3. een omschrijving van de categorieën van betrokkenen en persoonsgegevens;
  4. een omschrijving van de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  5. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen ter bescherming van de verzamelde persoonsgegevens.
  6. ...

Functionaris voor gegevensbescherming

De situaties waarvoor de aanstelling van een 'functionaris voor gegevensbescherming' verplicht is, zijn beperkt en niet courant. Het gaat met name om de gevallen waarin:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, 
  2. men hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of 
  3. men hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens (bijvoorbeeld gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten. 

Indien u vragen zou hebben over de hertekening van het privacybeleid binnen uw bedrijf, neem dan gerust contact op. Wij helpen u graag verder.