Wij gebruiken cookies op onze website om uw ervaring te verbeteren. Ik ga akkoord

GDPR: Een nieuw kader voor gegevensbescherming in Europa

GDPR: Een nieuw kader voor gegevensbescherming in Europa

 

 

2018, het beginjaar van de GDPR

In 2018 zullen enkele belangrijke wijzigingen plaatsvinden in de wetgeving op de bescherming van persoonsgegevens in Europa. Vanaf 25 mei 2018 gaat de General Data Protection Regulation (GDPR) van kracht die de regels over dit onderwerp grondig zal wijzigen.

Ook al kan men de tekst niet echt beschouwen als een revolutie, toch zullen de wijzigingen aanzienlijke gevolgen hebben. Dit komt vooral doordat het hier niet gaat om een richtlijn die elke lidstaat nog moet verwerken in zijn eigen wetgeving, maar om een echte regelgeving waarvan de toepassing in de gehele Europese Unie dezelfde is. In deze regelgeving wordt bepaald op welke manier moet worden omgegaan met bepaalde fundamentele principes, zoals de transparantie van de gegevensverwerking. Hierbij worden overtredingen zeer zwaar bestraft.

 

Nadruk op transparantie

De regelgeving bevat niet langer louter formele maatregelen die bestonden onder de voorgaande richtlijn (bijvoorbeeld de verplichting om de verwerking te melden) maar zorgt wel voor een betere transparantie van de gegevensverwerking. De nadruk ligt op de informatie die moet worden gegeven aan personen wiens gegevens worden verwerkt. Deze moet volledig zijn en in een ‘heldere’ vorm, dus ‘duidelijk en eenvoudig’. De vereiste van een duidelijke instemming voorkomt bijvoorbeeld de mogelijkheid dat gegevens worden verzameld van kinderen jonger dan 13 jaar.

De persoon van wie de gegevens worden verzameld heeft nu in bepaalde omstandigheden meer rechten om te weigeren dat zijn gegevens worden verwerkt (bijvoorbeeld voor marketingdoeleinden). Deze kan ook eisen dat de verzamelde gegevens aan hem worden bezorgd in een vorm dat hij deze aan een andere leverancier kan bezorgen (‘overdraagbaarheid van gegevens’). Tot slot kan de persoon zich verzetten tegen profilering, bijvoorbeeld op basis van zijn persoonlijke gegevens.

 

Meer plichten voor de verantwoordelijken van de verwerking

De verantwoordelijken van de verwerking en de onderaannemers hebben nu ook aanzienlijk meer plichten. Ze moeten bij al hun activiteiten rekening houden met de veiligheid van de gegevens en moeten de hoeveelheid verzamelde gegevens beperken tot een minimum. Bovendien moeten ze alle mogelijke technische en organisatorische maatregelen nemen die nodig zijn volgens de aard van en de risico’s gekoppeld aan de verwerkte gegevens. De organisaties die gewoonlijk grote hoeveelheden gegevens verwerken (zoals onderzoeksinstellingen) moeten een verantwoordelijke voor gegevensbescherming aanstellen. Deze verantwoordelijkheden moeten veiligheidsincidenten melden aan de overheden, hun klanten en aan de personen van wie de gegevens worden verwerkt.

Gegevensoverdrachten naar landen waar niet hetzelfde beschermingsniveau geldt, worden strikt beperkt tot specifieke gevallen. U weet vast nog dat er vorig jaar, na de vernietiging van het ‘Safe Harbor’-akkoord door het Hof van Justitie van de Europese Unie, veel inkt is gevloeid. Dit zal naar alle waarschijnlijkheid precies zo zijn bij zijn opvolger, de ‘Privacy Shield’ die binnen deze regelgeving moet passen.

De regelgeving voorziet uiterst zware sancties aangezien de boetes tot 20 miljoen euro of 4% van het wereldwijde zakencijfer van de overtreder kunnen bedragen. De verantwoordelijkheid van onderaannemers wordt eveneens ook sterk vergroot.

 

Het is nog niet te laat

Het is nog niet te laat om te voldoen aan de verplichtingen van de GDPR. U neemt echter best geen afwachtende houding aan. De kans is groot dat de verantwoordelijke instanties voor de invoering van de nieuwe regelgeving ook grote inspanningen zullen doen om meer controles uit te voeren zodra de regelgeving van kracht is.

Welke stappen moet een bedrijf nemen om deze regelgeving na te leven? In de eerste plaats moet de directie beseffen hoe belangrijk het is om persoonlijke gegevens te beschermen. Het management of de Raad van Bestuur zullen het dossier moeten doornemen. In bepaalde gevallen zullen ze een verantwoordelijke voor gegevensbescherming moeten aanstellen die ervoor zorgt dat de wettelijk vereiste maatregelen ook daadwerkelijk worden genomen en toegepast.

Dit betekent dat de medewerkers op de hoogte moeten worden gebracht van de bescherming van gegevens. Zij zijn op dit niveau de belangrijkste schakel in het bedrijf. Als de medewerkers persoonlijke gegevens ongecodeerd op USB-sticks blijven transporteren, zijn de gegevens niet veilig en hebben zelfs de meest geavanceerde beveiligingstechnologieën geen nut.

 

En wat doet ACTITO hiermee?

ACTITO heeft niet gewacht op de GDPR om persoonlijke gegevens te beschermen. Al sinds de oprichting van het bedrijf hebben wij maatregelen genomen om persoonlijke gegevens te beschermen.

We hebben de keuze gemaakt om onze technische infrastructuren zelf te beheren in beveiligde datacenters in Europa, met een volledige redundantie. Ons personeel kreeg opleiding over verschillende aspecten van beveiliging. Ook bij de groei van ACTITO gebruiken we ontwikkelingsmethodes die het risico op gegevensverlies beperken.

We laten regelmatig externe audits uitvoeren over de veiligheid van onze toepassingen en infrastructuren.

Onze directeur en mede-oprichter, Benoît De Nayer, is jurist gespecialiseerd in bescherming van persoonlijke gegevens en doet grote inspanningen om op de hoogte blijven van alles wat betreft dit onderwerp. Zo zijn we zeker dat ACTITO de juiste weg volgt. Bovendien geeft Benoît De Nayer op vraag van onze klanten eveneens externe opleidingen om de GDPR bij medewerkers te verduidelijken.

 

Een opportuniteit voor Europese bedrijven

Ondanks het uiterst strenge karakter van de GDPR die de bescherming van persoonlijke gegevens een negatief imago kan bezorgen, denken we dat een dergelijk uniform kader voor de Europese bedrijven een opportuniteit vormt om zich wereldwijd te onderscheiden van concurrenten door de nadruk te leggen op de bescherming van de belangen van consumenten en burgers.

Contacteer ons