Op 14 april 2016 werd de Algemene Verordening Gegevensbescherming ("Verordening" of ook "GDPR") door het Europees Parlement goedgekeurd. Daarmee komt een einde aan een meer dan vier jaar durend wetgevend proces. De nieuwe Verordening zal de verwerking van persoonsgegevens in uw onderneming ingrijpend wijzigen.
Wat verandert er met de Verordening?
De Verordening zal de bestaande Privacyrichtlijn 95/46/EG vervangen en het wetgevend kader voor gegevensbescherming ingrijpend wijzigen.
Een greep uit het arsenaal aan nieuwigheden die in de Verordening zijn opgenomen:
- extraterritoriale werking naar ondernemingen buiten de EU die goederen of diensten aanbieden in de EU;
- sterke nadruk op de verantwoordelijkheid van ondernemingen die persoonsgegevens verwerken;
- zelfstandige verplichtingen voor verwerkers van persoonsgegevens;
- versterkte rechten voor datasubjecten: recht om vergeten te worden, recht op dataportabiliteit, …
- verplichting om gegevenslekken te melden;
- verplichting om in bepaalde omstandigheden een data protection officer aan te stellen;
- invoering van principes van privacy by design en privacy by default;
- ….
Last but not least … maakt de Verordening het mogelijk om overtreders van de nieuwe regels te sanctioneren met monsterboetes tot 4% van de wereldwijde jaaromzet van de onderneming.
Wanneer treedt de Verordening in werking?
De Verordening zal spoedig in het Publicatieblad van de Europese Unie worden gepubliceerd en treedt 20 dagen na die publicatie in werking. Ondernemingen krijgen vervolgens een periode van twee jaar, dus tot 2018, om zich aan de Verordening te conformeren.
Wat moet u als onderneming doen?
Ondernemingen doen er goed aan om zo snel mogelijk een gap analysis uit te voeren om hun gegevensbeschermingsprogramma’s te beoordelen. Dit vergt niet alleen een mapping van alle gegevens binnen de onderneming, maar ook onder meer van alle kanalen via dewelke een onderneming met een datasubject communiceert (privacy policies, website, contracten, nieuwsbrieven, e-commercetools, …) en van de interne procedures (bijvoorbeeld data breach policies). Eens die analyse is uitgevoerd, kunnen maatregelen worden geïdentificeerd die de onderneming toelaten om tegen 2018 met de Verordening in regel te zijn.