De huidige beschermingsrichtlijn voor persoonsgegevens dateert van 1995. Hoogste tijd voor een nieuw wettelijk kader dus, dat helemaal aangepast is aan onze huidige realiteit van big data, de cloud en altijd online. Maar wat houdt de nieuwe General Data Protection Regulation nu juist in? En hoe zorg je er als bedrijf voor dat je aan de nieuwe regels voldoet?

In mei volgend jaar wordt de nieuwe GDPR-wetgeving ingevoerd in heel de EU. “De nieuwe GDPR wil vooral bereiken dat bedrijven hun huidige databescherming onder de loep nemen. Wanneer dat beleid al goed werkt, hoeft er weinig aangepast te worden. Wanneer dat niet het geval is, hebben bedrijven nog een klein jaar om te zorgen dat ze in orde zijn met de nieuwe richtlijnen”, vertelt Caroline De Geest van de Privacycommissie. Voor bedrijven kan er dus heel veel of juist amper iets veranderen. “Alles hangt af hoe bedrijven nu al met persoonsgegevens omgaan.”

Eerst bemiddelen, dan boete
De nieuwe GDPR komt er na vijf jaar onderhandelen en biedt een wetgevend kader voor alle EU-lidstaten. In België is de Privacycommissie verantwoordelijk voor enerzijds sensibilisering van alle bedrijven in ons land – elke onderneming valt immers onder GDPR. Anderzijds heeft de Privacycommissie een controlerende rol en is ze zelfs in staat straffen uit te delen aan de bedrijven die de regels niet volgen. De Geest: “Die boetes zijn een stok achter de deur om de naleving van de wetgeving af te dwingen, als het na bemiddeling niet lukt. Bij het oude systeem moesten we via de rechter wanneer we sancties wilden opleggen. Dat duurde lang en kostte veel geld. Nu kunnen we als Privacycommissie actiever optreden.”

 

Wanneer je ziet hoe er in sommige bedrijven nu met persoonsgegevens wordt omgegaan, denk ik dat de nieuwe GDPR een goede zaak is Karel Holst

 

Data Protection officer gezocht
Twee van de grootste veranderingen die de GDPR oplegt, is de verplichting van het bijhouden en actualiseren van een dataregister en het aanstellen van een Data Protection Officer (DPO). Grote bedrijven hebben vaak al een DPO of veiligheidsconsulent in dienst of zullen naar aanleiding van de GDPR iemand aannemen. Kmo’s die te maken hebben met persoonlijke data, zoals bijvoorbeeld een marketing- of reisbureau, kunnen hun heil zoeken bij externe gespecialiseerde privacy juristen of DPO’s zoals Karel Holst van IFORI. Holst licht de manier door waarop de organisaties met persoonsgegevens omgaan en helpt hen met de implementatie van nieuwe maatregelen. “Bedrijven die zich nu al aan de regels houden, hoeven weinig te veranderen.”

GDPR is maatwerk
Je heil zoeken online is niet helemaal aangewezen, ook al zijn er op het internet veel algemene stappenplannen te vinden om als bedrijf aan de GDPR richtlijnen te voldoen. “Maar het blijft maatwerk en kijken wat echt noodzakelijk is voor dat specifiek bedrijf”, aldus Holst. “De grootte van je onderneming speelt een rol, in welke sector je actief bent en wat voor data er verzameld worden.” Af en toe komt hij ook schrijnende gevallen tegen. “Databases met onversleutelde paswoorden erin bijvoorbeeld, of data die zonder medeweten van de betrokkenen gewoon worden doorverkocht.” Zaken die dus vanaf mei 2018 bestraft kunnen worden.

 

Boetes zijn een stok achter de deur om naleving van de wetgeving af te dwingen Caroline De Geest

 

Databescherming als concurrentieel voordeel
En zijn de nieuwe regels een goede zaak? “Uiteindelijk zijn we allemaal burgers”, zegt Holst. “Wanneer je ziet hoe er in sommige bedrijven nu nog met persoonsgegevens wordt omgegaan, denk ik dat de nieuwe GDPR een goede zaak is.” De Geest wijst er bovendien op dat bedrijven de discrete manier waarop zij met persoonsgegevens omgaan, kunnen gebruiken in hun communicatie. “Bij een datalek is er een meldingsplicht binnen de 72 uur. Die imagoschade willen bedrijven vermijden. Op die manier wordt een goede databescherming een concurrentieel voordeel. Burgers zien zelf steeds meer in hoe belangrijk dat is, en zullen eerder bij bedrijven die zorgvuldig met hun data omgaan klant worden.”

Richtlijnen voor de hele EU
Waar de doorlichting van het databeschermingsbeleid van een bedrijf aanvankelijk vooral geld kost, zorgt de GDPR er ook voor dat er bespaard kan worden. De GDPR geldt immers voor alle EU-lidstaten. “Er hoeft daardoor voor internationaal opererende bedrijven niet per land afzonderlijk juridisch advies te worden ingewonnen”, legt Holst uit. “Dat scheelt ondernemingen geld en tijd.”