We stelden in deel 1 de vraag: "
Hadden we niet reeds zoiets?"
Inderdaad hebben we, of beter hadden we, de
Privacy wet van 1992.
Hoewel ze beiden betrekking hebben op het verwerken van persoonsgegevens,
bestaan er wel grote verschillen tussen de oude
Privacy wet en de nieuwe
Algemene Verordening of
GDPR.
De 7 belangrijkste verschillen zijn:
1. Het toepassingsgebied van de nieuwe regelgeving is veel ruimer.
De
GDPR geldt binnen de
hele Europese Unie (EU).
Verder is ze ook van toepassing op niet Europese bedrijven indien zij producten of diensten aanbieden binnen de EU.
Dezelfde tekst (inclusief de vertalingen in de 24 talen van de EU) is de enige geldige regelgeving voor de hele EU.
Er is (bijna) geen marge voor de lidstaten om af te wijken van de basis tekst.
Hoewel de
Privacy wet gebaseerd is op de
Europese Richtlijn van 1995 is ze beperkter en geldt ze enkel in België.
2. Hogere sancties.
De
Privacy Commissie die toezicht houdt op de naleving van de Privacy Wet is weinig meer dan een papieren tijger.
Onder de nieuwe Algemene verordening krijgt de commissie tanden.
Zij kan administratieve boetes opleggen tot € 20.000.000,00 of 4% van de (wereldwijde) jaaromzet.
Tevens beschikt ze na 25 mei 2018 over meer middelen om te onderzoeken en te corrigeren.
Betrokkenen kunnen van
25 mei 2018 gemakkelijker klacht indienen tegen de verwerker van hun gegevens.
Dit kan ondermeer via een vorm van "class-action".
3. Gegevenslekken
Vandaag bestaat er enkel een verplichting voor telecomoperatoren om gegevenslekken te melden aan de Privacy Commissie.
Met de nieuwe GDPR verandert dit ingrijpend. Elk gegevenslek moet
binnen de 72 uren gemeld worden en in sommige gevallen dient ook de
betrokkene ingelicht worden.
4. De leveranciers en verwerkers van data komen ook in het vizier
Waar de Privacy wet enkel verplichtingen oplegt aan verwerkingsverantwoordelijken, kijkt ze nu ook naar de bedrijven die persoonsdata verzamelen en verwerken.
Het gebeurt frequent dat een bedrijf voor een mailingactie of bv. louter kerstwensen de verzending hiervan uitbesteedt aan een marketing- of communicatiebureau.
Zij gebruiken hiervoor de door het eerste bedrijf geleverde contactgegevens of verwerken een eigen adressenbestand.
Zij zullen zich onder de GDPR eveneens moeten schikken naar de regels ervan.
5. Het aanstellen van een DPO
Samen met de GDPR ontstaat een
nieuwe functie: de
Data Protection Officer (
DPO) of in onhandig Nederlands: de
ambtenaar gegevensbescherming.
Dit is de persoon die
verantwoordelijk is voor de naleving van de GDPR regels binnen een bedrijf.
Gelukkig is deze functie niet voor alle bedrijven verplicht. We komen hier later nog op terug.
6. Verantwoording
Het sleutelwoord van de GDPR is "verantwoording' (accountability).
De GDPR eist van de bedrijven dat ze het gevoerde privacybeleid kunnen verantwoorden.
Ze moeten kunnen verklaren en verantwoorden waarom zij bepaalde persoonsgegevens verzamelen en verwerken.
Ze moeten kunnen aantonen dat ze steeds de privacy van het individu voor ogen hebben en de impact op diens privacy tot een minimum beperken.
7. Transparantie
De GDPR benadrukt dat het privacybeleid van een onderneming
transparant moet zijn.
Bedrijven moeten
duidelijk communiceren over de manier waarop ze persoonsgegevens verwerken.
Elke onderneming moet de persoon waarover het data verzamelt
uitvoerig informeren over zijn rechten.
Zo heeft elke betrokkenen het recht om de gegevens die over hem of haar worden bijgehouden
in te kijken.
Hij kan foute gegevens
laten corrigeren, vragen om de informatie te
beperken of te
beëindigen en hij heeft het
recht om vergeten te worden.
—
GDPR - deel 4: eindelijk iets praktischGDPR - deel 3: de basisprincipesGDPR - deel 2: het verschil
GDPR - deel 1: inleidingAVG, GDPR, Privacy?