Deze verordening zal in werking treden in alle Europese lidstaten op 25 mei 2018 en verandert op drastische wijze de manier waarop ondernemingen met persoonsgegevens moeten omgaan.

Europese ondernemingen (maar ook bepaalde niet-Europese ondernemingen die zich op de Europese markt richten) hebben dus minder dan twee jaar de tijd om de nodige hervormingen op juridisch en technisch gebied door te voeren.

De impact van deze nieuwe verordening zal van onderneming tot onderneming verschillen en afhankelijk zijn van de sector waarin deze actief is.

De AVG zal in België de Privacywet van 1992 en in Nederland de Wet bescherming persoonsgegevens van 2000 vervangen. Hierna bespreken wij de kernelementen van de AVG.

 

Voor wie?

Persoonsgegevens zijn alle gegevens over een geïdentificeerde of identificeerbare natuurlijk persoon, zoals de naam, het adres en fysieke, genetische informatie van die natuurlijke persoon.

De AVG is van toepassing op alle ondernemingen (en organisaties) die persoonsgegevens verwerken in hun hoedanigheid van ‘verwerker’ of ‘verantwoordelijke voor de verwerking’. Onder ‘verwerken’ wordt verstaan het opslaan, bewaren en aanpassen van persoonsgegevens. De AVG zal dus op heel wat ondernemingen van toepassing zijn die vandaag (bewust of onbewust) gegevens van cliënten bewaren of verwerken (in de zin van de AVG), bijvoorbeeld in het kader van getrouwheidskaarten of een ‘client relationship management’- (‘CRM’-) systeem, maar ook ondernemingen die aan direct marketing doen (e-commerce).

Verder is de AVG niet alleen van toepassing op ondernemingen die binnen de Europese Unie zijn gevestigd maar eveneens, onder bepaalde voorwaarden, op ondernemingen die zich buiten de grenzen daarvan bevinden. 

 

Gronden voor verwerking van persoonsgegevens

De verwerking van persoonsgegevens is rechtmatig indien deze is gebaseerd op een van de verwerkingsgronden die staan opgesomd in de AVG. Zo is de verwerking van persoonsgegevens toegestaan indien deze noodzakelijk is voor de uitvoering van een overeenkomst. Dit is bijvoorbeeld het geval wanneer een webshop de gegevens van de consument (naam en adres) verwerkt in het kader van een levering van de door de consument bestelde goederen.

Verder is de verwerking van persoonsgegevens bijvoorbeeld ook toegestaan indien de betrokkene daarvoor zijn toestemming heeft gegeven. Deze toestemming moet op een vrije, specifieke, geïnformeerde en ondubbelzinnige wijze worden gegeven, waardoor het systeem van de zogenoemde opt-out – dat vaak wordt gebruikt in het kader van online marketing – moet worden vervangen door een opt-insysteem.

 

Nieuwe rechten van de betrokkene onder de AVG 

De betrokkenen (consumenten) beschikken tevens over een aantal nieuwe rechten onder de AVG, waaronder: (i) het recht om op welk gewenst moment hun toestemming in te trekken, (ii) het recht op overdraagbaarheid van hun persoonsgegevens en (iii) het recht op de uitwissing van hun persoonsgegevens. Deze nieuwe rechten moeten de betrokkenen meer controle geven over het gebruik van hun persoonsgegevens, maar houden in de praktijk een verhoging in van de administratieve lasten voor ondernemingen.

 

Nieuwe verplichtingen voor organisaties onder de AVG

De AVG legt een aantal nieuwe verplichtingen op aan ondernemingen. We zetten hier kort de voornaamste op een rijtje:

- Gegevensbeschermingseffectbeoordeling (‘Data Protection Impact Assessment’)Een zogenoemde gegevensbeschermingseffectbeoordeling zal in de meeste gevallen verplicht moeten worden toegepast om de nieuwe, pas geïntroduceerde concepten, namelijk gegevensbescherming door ontwerp (‘privacy by design’) en door standaardinstellingen (‘privacy by default), te kunnen toepassen. Het gaat er hier concreet om dat ondernemingen onder de AVG bepaalde maatregelen en processen zullen moeten invoeren waardoor zij zelf (bij controle) kunnen aantonen dat zij aan alle verplichtingen van diezelfde AVG voldoen.

- Verplichte functionaris voor gegevensbescherming (‘Data Protection Officer’) Een onderneming kan overeenkomstig de AVG worden verplicht om een functionaris voor gegevensbescherming aan te stellen die aan bepaalde kwalificaties moet voldoen en als eerste aanspreekpunt zal worden beschouwd.

- Inbreuk in verband met persoonsgegevens (‘Notification of a personal data breach’) Een inbreuk dient aan de toezichthoudende autoriteit (‘supervisory authority’) te worden gemeld binnen 72 uur na kennisname van de desbetreffende inbreuk, tenzij deze inbreuk geen risico inhoudt voor de rechten en vrijheden van de natuurlijke personen. De onderneming is verplicht over een aangepast beleid en procedures te beschikken om hier vlot te kunnen optreden.

Dit houdt concreet in dat ondernemingen hun interne operationele processen (inzake de bescherming van klantengegevens, data security) en de bijbehorende documenten (contracten met leveranciers en externe serviceproviders) zullen moeten screenen en waar nodig dienen aan te passen.

Zoals hierboven reeds gesteld, is het immers aan de onderneming zelf om aan te tonen dat zij de nodige maatregelen heeft genomen (bijvoorbeeld op het vlak van zogenoemde data breach reporting) om te voldoen aan de verplichtingen van de AVG.

 

 

De niet-naleving van de AVG kan resulteren in administratieve geldboetes van:

- € 10 miljoen of 2% van de totale wereldwijde jaaromzet (als dit bedrag hoger is) indien een onderneming haar verplichtingen als verwerkingsverantwoordelijke of als verwerker niet nakomt;

- € 20 miljoen of 4% van de totale wereldwijde jaaromzet (als dit bedrag hoger is) indien een onderneming de basisbeginselen inzake de gegevensverwerking of de rechten van de betrokkenen niet respecteert.

Wij adviseren ondernemingen om een proactief en pasklaar kader op te stellen dat de kernelementen van de AVG weerspiegelt en daaraan tevens beantwoordt.

 

 

Tim Fransen en Mathias De Backer

• Belgium-Holland Desk newsletter - november 2016