De nieuwe Europese privacyrichtlijn, de General Data Protection Regulation of GDPR, treedt pas in 2018 in werking. Maar toch zet u de richtlijn en haar gevolgen beter al op uw to-dolijstje voor 2017.
De algemene regeling voor gegevensbescherming (General Data Protection Regulation of kortweg GDPR) is een reeks van EU-voorschriften die de gegevensbeschermingsrichtlijn van 1995 zal vervangen. Want die dateerde nog uit de periode vóór er sprake was van sociale media, apps of datadiefstal.
Waneer start de GDPR?
De GDPR voert een aantal nieuwe verplichtingen en aansprakelijkheden in voor ondernemingen die persoonsgegevens van Europeanen verwerken. ‘Deze verordening treedt meteen in werking. Lidstaten moeten de wetgeving dus niet omzetten naar lokale wetten’, verduidelijkt Marc Vael, chief audit executive bij Smals, de ICT- organisatie van Belgische overheidsdiensten in de sociale zekerheid. Wel is er een overgangsperiode van ongeveer twee jaar ingebouwd. De echte uitvoering van de maatregelen gaat dus pas in op 25 mei 2018. Maar bedrijven kunnen er best nu al mee bezig zijn.
De wetgever hoopt dat sommige veranderingen die voortvloeien uit de GDPR kostenverlagend zijn voor de ondernemingen. Er zou namelijk één reeks van regels in heel Europa van kracht zijn, net als één enkele gegevensbeschermingsinstantie. EU-lidstaten zouden wel mogelijkheden hebben om van de regels af te wijken. De Europese Commissie en de privacyinstanties beloven volgend jaar meer duidelijkheid te bieden. Ondernemingen moeten dus de ontwikkeling van deze richtsnoeren verder opvolgen.
Voor wie geldt de richtlijn?
De EU-gegevensbeschermingsregels zullen van toepassing zijn op vrijwel alle ondernemingen die de persoonsgegevens van EU-betrokkenen verwerken, ongeacht de plaats waar die ondernemingen gevestigd zijn, en met aansprakelijkheden voor zowel gegevensbeheerders als gegevensverwerkers. Dat is een van de belangrijkste veranderingen die de nieuwe regeling invoert.
De GDPR-wetgeving heeft dus vooral impact op organisaties die veel persoonlijke klanteninformatie beheren. ‘Dat lijkt dus eerder iets voor een ziekenhuis dan bijvoorbeeld voor fabrikant Johnson & Johnson’, vergelijkt Luk Schoonaert, expert in datasecurity bij Exclusive Networks. ‘Ik denk dat in eerste instantie overheden en banken de impact zullen voelen. Maar ook een middelgroot advocatenkantoor beschikt over heel wat persoonlijke klanteninformatie.’
Wat zegt de richtlijn?
De algemene teneur van de wetgeving? De consument moet meer inzicht en controle krijgen over zijn persoonsgegevens. Iedere klant moet voortaan zijn expliciete toestemming geven vooraleer een bedrijf zijn gegevens kan gebruiken. De nieuwe privacyregels situeren ook het recht op inzage van gegevens. Bovendien kan een consument of werknemer op elk moment aan een bedrijf vragen om ‘vergeten te worden’. Dat principe gold al voor de zoekmachine Google na een uitspraak van het Europese Hof van Justitie. De regeling voert ook concepten als ‘privacy by design’ in. Dat betekent dat met gegevensbescherming al rekening moet worden gehouden bij het opmaken van plannen voor nieuwe projecten, procedures of systemen. Daarnaast moeten ingrijpende datalekken gemeld worden.
Hoe groot zijn de (financiële) gevolgen?
Afhankelijk van de partij met wie je praat is de impact van deze wetgeving groot tot zeer groot. Sommigen spreken van de grootste of meest ingrijpende wet uit de bedrijfsgeschiedenis. ‘Al valt dat best mee’, nuanceert Marc Vael van Smals. ‘De Amerikaanse Sarbanes-Oxley-regelgeving was bijvoorbeeld veel ingrijpender’, vindt hij. Al zullen bedrijven en hun IT-afdelingen wel een goed zicht op hun data moeten hebben. ‘Maar op zich is deze wet een logisch vervolg op de digitale evolutie.’
Het meest opvallende onderdeel van de nieuwe wetgeving zijn de verplichtingen bij datalekken van persoonsgegevens. De meldingsplicht op zich is niet nieuw, ze gold in ons land in de praktijk bijvoorbeeld al voor telecomoperatoren.
Maar nu komen er meer instrumenten om het af te dwingen. Meldingsplicht zorgt bij bedrijven voor reputatieschade, maar heeft ook een behoorlijke financiële impact. Bedrijven die de regels schenden, riskeren een boete van 2 tot 4 procent van hun wereldwijde omzet. Voor grote bedrijven kan een boete dus fors oplopen.
Zijn bedrijven al bezig met de GDPR?
Ja en neen. Zo staat de IT-impact van deze wetgeving hoog op de agenda bij Belgische organisaties en hun IT-afdeling in het bijzonder. Dat bleek uit een recente rondvraag van Beltug, de Belgische vereniging voor professionele ICT-gebruikers.
Toch is niet elk bedrijf er even intens mee bezig. ‘Grotere bedrijven hebben ook de nodige slagkracht. Zij moeten, naargelang hun grootte en omzet, bijvoorbeeld een data protection officer aanstellen die verantwoordelijk is voor de juiste gang van zaken rond beveiliging van persoonsgegevens’, stelt Christof Geirnaert van beveiligingsbedrijf Fox-IT.
Voor kmo’s is dat anders. ‘Zij hebben geen personeel dat voortdurend aan de slag kan zijn met cybersecurity. En ze zien dat vaak ook niet als een prioriteit’, stelt hij vast. Kleinere bedrijven wenden zich hiervoor steeds vaker tot externe experts, merkt Geirnaert. ‘Toch zien we in het algemeen een laksere houding bij Belgische bedrijven in vergelijking met de Nederlandse.’