De Algemene Verordening Gegevensbescherming of GDPR trad in mei 2016 officieel in werking. Organisaties krijgen tot mei 2018 de tijd om zich aan de richtlijn aan te passen. Hoewel het voor ondernemingen die in Europa actief zijn van cruciaal belang is om hun werking af te stemmen op de GDPR, bestaan er nog heel wat misverstanden. Edwin Jabobs, advocaat bij time.lex, zet de acht belangrijkste misvattingen op een rij.
Misverstand 1: de GDPR geldt niet voor kleine ondernemingen
De impact van de GDPR op een onderneming hangt af van de wijze waarop er data wordt verwerkt. Het aantal datarecords of de grootte van de organisatie staat daar los van.
De verordening noemt als voorwaarde dat ‘het verwerken van data of monitoren van individuen’ onderdeel is van de kernactiviteiten van de onderneming. De aanduiding ‘kernactiviteiten’ wordt echter niet gespecificeerd. Best is er van uit te gaan dat de verordening geldt voor iedere onderneming die met een commercieel belang identificeerbare persoonlijke gegevens verwerkt. Voor kleine organisaties en mbo’s worden er enkele concessies gedaan, maar de GDPR blijft in principe van toepassing.
Misverstand 2: iedere onderneming waarop de GDPR van toepassing is, moet een Data Protection Officer (DPO) aanstellen
Het feit dat de GDPR op een onderneming van toepassing is, wil nog niet zeggen dat deze onderneming een Data Protection Officer (of ‘functionaris voor gegevensbescherming’) moet aanstellen. Dit is alleen het geval bij publieke instellingen die data verwerken, ondernemingen die persoonlijke data systematisch op grote schaal verwerken, en organisaties die data verwerken met betrekking tot specifieke datacategorieën (zoals gezondheidsdata).
Dit wil niet zeggen dat het aanstellen van zo een functionaris overbodig is. Ook als men als onderneming niet in bovengenoemde categorieën past, kan een DPO een slimme zet zijn. Dit kan ook een externe DPO zijn zoals een advocaat. Dit zorgt voor extra toezicht en meer zekerheid bij eventuele geschillen.
Misverstand 3: het aanstellen van een DPO is slechts een formaliteit
De GDPR schrijft voor dat een Data Protection Officer aantoonbaar ‘expert knowledge’ moet hebben van privacy en databeveiliging. Daarnaast moet de aangestelde DPO voldoende op de hoogte zijn van de bedrijfsspecifieke dataprocessen. Het simpelweg aanstellen van een van de medewerkers als DPO is dus niet voldoende.
Misverstand 4: onze onderneming versleutelt data, dus we voldoen aan de GDPR
De data enkel versleutelen is niet voldoende voor de GDPR. Data encryptie moet eerder gezien worden als de minimale standaard waarbij extra maatregelen bijna onmisbaar zijn. Ondernemingen moeten extra mogelijkheden bieden om persoonlijke data te beschermen, zoals het gebruiken van tweestapsverificatie en het permanent verwijderen van data die niet meer worden gebruikt.
Misverstand 5: data worden in de cloud bewaard, dus de verantwoordelijkheid voor databeveiliging ligt bij de cloud provider en security provider
De GDPR is niet alleen van toepassing op bedrijven die data opslaan, maar ook op de ondernemingen die deze data verwerken. Dat betekent dat de GDPR ook van toepassing is als een onderneming gebruikmaakt van externe providers voor gegevensopslag bij het verwerken van data.
Misverstand 6: mijn onderneming voldoet aan de Privacywet, dus we voldoen ook aan de GDPR
De GDPR vervangt de databeschermingsrichtlijn die in België is omgezet in de Privacywet. De GDPR en de Privacywet zijn echter in vele opzichten verschillend. Er zijn bijvoorbeeld verschillen in de mate waarop de gebruiker toestemming moet verlenen voor het verwerken van zijn of haar data, en de manier waarop de gebruiker geïnformeerd moet worden bij eventuele datalekken. Het is wel zo dat het voldoen aan de Privacywet zorgt voor een eenvoudigere overgang naar het voldoen aan de GDPR.
Misverstand 7: mijn onderneming voldoet aan het Privacy Shield, dus we voldoen ook aan de GDPR
Hoewel er veel overeenkomsten zijn tussen de regelgeving van het Privacy Shield (de overeenkomst tussen de EU en de Verenigde Staten in opvolging van de Safe Harbour overeenkomst) en de regelgeving van de GDPR, is het niet zo dat deze twee systemen geheel gelijk zijn. Het Privacy Shield heeft slechts betrekking op een van de vele aspecten van de GDPR, namelijk internationale datatransfers. Het Privacy Shield zegt bijvoorbeeld niets over gebruikerstoestemmingen, DPO’s en meer.
Misverstand 8: de GDPR is een all-in-one-oplossing voor dataverwerking in Europa
De GDPR is in de markt gezet als een universele verordening die de regelgeving in Europa vereenvoudigt en unificeert. In de praktijk is dit echter niet het geval. Voor multinationals is de GDPR slechts een verordening naast een aantal bestaande verordeningen. Zo zijn er bijvoorbeeld verschillende wettelijke regels over de notificatieplicht in geval van een datalek of data breach. Daarnaast moeten ondernemingen voldoen aan nationale privacyregels die per land verschillen. Het wordt nog gecompliceerder als de GDPR tegenstrijdig blijkt te zijn met dergelijke nationale richtlijnen of sectorgerelateerde richtlijnen.
Ondernemers, bedrijven en multinationals hebben tot mei 2018 de tijd om de bedrijfsvoering af te stemmen op de GDPR. Het is aangewezen dat ondernemingen er zo snel mogelijk aan beginnen en bijzonder raadzaam het juridisch advies van een privacy expert in te winnen.
Zin in meer? De opleiding ‘De nieuwe Europese Privacy verordening en gegevensbescherming’ gaat dieper in op alle ins en outs van de GDPR. Maak jouw organisatie Privacy & Security proof en volg één van onze opleidingen 'Privacy & Security'.
Bron: www.legalword.be
Edwin Jacobs is advocaat aan de balie van Brussel en praktijklector aan het Interdisciplinair Centrum voor Recht en ICT (K.U. Leuven). Zijn specialiteiten omvatten e-facturatie, ICT-outsourcing, e-banking, e-business en internetrecht, ICT-contracten (hardware,software, diensten, distributie) en intellectuele eigendom. Hij is tevens docent bij Kluwer Opleidingen.
