De Algemene Verordening Gegevensbescherming (AVG) heeft als doel burgers meer controle te geven over het gebruik van hun persoonlijke gegevens. Dit is een grote stap vooruit. De laatste wetgeving, die sinds 1995 van kracht was, voldeed nauwelijks nog aan de hedendaagse normen die er gekomen zijn met de digitalisering van onze samenleving.
De verordening is in werking getreden op 24 mei 2016 en zal vanaf 25 mei 2018 rechtstreeks, zonder omzetting in nationale wetgeving, van toepassing zijn in de lidstaten van de Europese Unie.
De AVG zal dus pas vanaf 2018 van toepassing zijn. Toch is het aangeraden om als onderneming nu al actief aan het werk te gaan. De aanpassingen die men moet doen zijn niet enkel een technische maar ook een organisatorische kwestie. De verordening eist namelijk dat in organisaties op alle relevante niveaus aandacht wordt besteed aan bewustwording op het gebied van privacy en beveiliging van gegevens.
Gegevensbescherming wordt, met andere woorden, de komende jaren veel belangrijker en de sancties veel zwaarder. Bedrijven zullen kort samengevat:
- Een risicoanalyse/data-audit moeten maken (welke gegevens worden verwerkt? Hoe groot is het risico dat de privacy geschonden wordt?)
- Maatregelen moeten nemen om de privacy te waarborgen en opleiding voorzien om medewerkers attent te maken op de aanwezige risico’s
- Alle genomen acties moeten documenteren
Wil je zeker zijn dat je tegen 2018 volledig in regel bent? Overleg dan zeker een met je juridische bijstand. Met het onderstaand stappenplan kan je alvast beginnen.
Toepassingsgebied
Een belangrijk verschil met de huidige privacywetging is het toepassingsgebied. Waar momenteel enkel bedrijven gevestigd in de EU onder deze wetgeving vallen zullen bij het in werking treden van de AVG ook bedrijven buiten de EU zich moeten houden aan de nieuwe verordening als ze personengegevens verwerken van EU-burgers.
Personengegevens
Wat zijn dan precies personengegevens? “Elke vorm van informatie die naar een natuurlijke persoon kan leiden, zijn persoonsgegevens.” Dit kan ver gaan. Je kan gebruikersnamen (zoals een Twitter handle), berichten op sociale media (zoals tweets) en zelfs een IP-adres terugkoppelen naar een persoon.
Kort samengevat: tenzij je met geanonimiseerde gegevens werkt (foto’s waar de persoon onherkenbaar is, anonieme gegevens uit wetenschappelijk onderzoek zoals leeftijd en geslacht) val je onder de AVG.
Stappenplan
De privacy commissie heeft, om de overgang te vergemakkelijken, een stappenplan uitgeschreven die je als bedrijf kan volgen. Op die manier kan je tegen 2018 AVG-compliant zijn.
-
Zorg voor bewustmaking
Zorg ervoor dat alle medewerkers in je bedrijf op de hoogte zijn van de aankomende veranderingen. Vooral sleutelfiguren moeten goed geïnformeerd worden. Dit zullen namelijk de mensen zijn die gaan aanduiden waar en hoe in het bedrijf zal ingegrepen worden om klaar te zijn voor 2018.
-
Weet waar je data staat
Dit is een niet te onderschatten stap. Breng in kaart waar en hoe je data wordt bewaard. Zorg er ook zeker voor dat je precies weet met welke partners je informatie deelt.
Niet zeker waar te beginnen? Een informatie-audit kan hierbij helpen.
-
Herbekijk je privacyverklaring
Ga eens na of je privacyverklaring nog up-to-date is. Vanaf 2018 verwacht men dat je extra informatie zoals de bewaartijd van gegevens. Je moet het ook duidelijk vermelden als je gegevens deelt buiten de EU en duidelijk maken dat de gebruiker met zijn klachten steeds terecht kan bij de Privacycommissie. Vermijd hierbij archaïsche taal: je privacyverklaring moet zo duidelijk mogelijk zijn.
-
Houd rekening met de “Rechten van de betrokkene”
De gebruiker wiens gegevens worden verzameld (“de betrokkene”) krijgt met de AVG enkele bijkomende rechten. Zorg ervoor dat deze betrokkene zeker en vast volgende acties kan ondernemen
- Hun persoonsgegevens inkijken
- Hun gegevens verbeteren of verwijderen
- Direct marketingpraktijken weigeren
- Geautomatiseerde besluitvorming en profilering weigeren
- Hun Gegevens overdragen naar andere leveranciers/bedrijven
Normaal gezien zullen de meeste bedrijven hier weinig hinder van ondervinden, aangezien de AVG hiervoor sterk voortbouwt op de huidige privacywet. Maar het is aangeraden om al deze zaken eens te gaan herbekijken voor 2018.
-
Sneller gegevens laten inkijken
Gebruikers hebben nu al het recht om hun gegevens in te kijken. Bedrijven moeten echter sneller gaan reageren op deze aanvraag. De termijn is namelijk verkort van 45 naar 30 dagen.
Heb je heel veel van deze aanvragen? Dan adviseert de Privacycommissie een kosten/baten-analyse te organiseren om te kijken of een online toegangssysteem een oplossing kan bieden.
-
Bepaal een wettelijke grondslag voor het verwerken van persoonsgegevens
In tegenstelling tot de huidige privacywet, is het volgens de AVG cruciaal om een wettelijke basis te bepalen voor de gegevensverwerking. Die basis bepaalt immers ook welke rechten de gebruiker heeft omtrent zijn gegevens. ”De betrokkene heeft bijvoorbeeld een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking,” volgens de Privacy commissie. Die wettelijke grondslag moet beschreven worden in de privacyverklaring en nog eens verduidelijkt worden bij een verzoek tot inkijk.
-
Vraag op de juiste manier toestemming
De manier waarop je toestemming verkrijgt en bewaart zal ook een pak belangrijker worden. Je moet de gebruiker namelijk voldoende inlichten. Je moet ook ten alle tijden kunnen bewijzen dat je toestemming hebt gekregen.
Deze toestemming mag niet passief zijn (dus geen vooraf aangevinkt vakje of een andere vorm van “niet-handelen”). De gebruiker moet actief zijn akkoord geven.
-
Let op met minderjarigen
Je privacyverklaring moet geschreven zijn zodat een minderjarige deze kan begrijpen. Verzamel je gegevens van gebruikers die jonger zijn dan 16? Dan moet je de toestemming krijgen van een voogd.
-
Wees voorbereid op een datalek
Heb je een datalek waarbij personengegevens gevaar lopen dan moet dit gemeld worden bij de Privacycommissie. De nodige procedures moeten dus worden ontwikkeld om datalekken zo snel mogelijk op te sporen, te onderzoeken en te melden. Onderzoek ook welke persoonsgegevens ertoe kunnen leiden dat je de gebruiker zelf moet waarschuwen: bijvoorbeeld het geval wanneer bankgegevens gestolen worden, en de gebruiker mogelijk bestolen kan worden.
We raden zelfs aan om een datalek altijd aan te geven: better safe than sorry.
-
PBD en PIA voorbereiden
De AVG draait rond twee centrale begrippen: Privacy by design en Privacy by default.
Privacy by default draait erom dat elk proces binnen je bedrijf vanaf het begin gericht is op privacy. Privacy Impact Assessments zijn daar een onderdeel van. Met PIAs analyseer je bijvoorbeeld de impact van een nieuw systeem.
‘Privacy by default’ houdt in dat de verwerking als standaardinstelling moet hebben dat privacy zoveel mogelijk wordt gewaarborgd. Dit betekend dat je nooit meer informatie verzameld dan strikt nodig.
-
Een data protection officer aanstellen
Een Data Protection Officer of DPO is niet verplicht voor elk bedrijf maar is wel sterk aangeraden.
Die functie hoeft niet persé opgenomen te worden door een nieuwe werknemer. Een bestaande werknemer kan hiervoor in aanmerking komen alsook een consultant. De DPO moet wel genoeg expertise hebben om de functie naar behoren uit te voeren.
-
bekijk je internationaal verhaal
De AVG is van toepassing op ieder bedrijf dat zijn hoofdzetel in de EU heeft alsook alle bedrijven die gegevens verwerken van EU burgers.
-
Her-evalueer je bestaande contracten
De AVG is niet enkel van toepassing op jou maar ook op de diensten waar je professioneel gebruik van maakt. Het is volgens de AVG aan jou om te kijken of deze diensten compliant zijn.
Bronnen: