GDPR: welke impact heeft het op KMO’s en VZW's?

Privacy wetgeving is niet nieuw. Vandaag al wil de privacywet de burger beschermen tegen misbruik van zijn persoonlijke gegevens en legt ze de rechten van de burger en de plichten van de verwerker vast. Die plichten worden echter zelden afgedwongen. Slechts in enkele sectoren (ziekenzorg bijvoorbeeld) moet het bedrijf of de organisatie een veiligheidsconsulent aanstellen en voldoen aan de ISO27001-norm.

De wetgeving die in mei 2018 in voege treedt is beter gekend als de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). Ondernemingen en organisaties die persoonlijke gegevens van burgers van de Europese Unie verwerken, moeten kunnen aantonen dat ze al de mogelijke technische en organisatorische maatregelen genomen hebben om deze data te beschermen.

GDPR – enkel voor grote bedrijven?

Een vaak gehoorde misvatting is dat de wetgeving enkel zou gelden voor grote ondernemingen, maar GDPR geldt voor alle bedrijven en organisaties die, onafhankelijk van hun grootte, onder deze criteria vallen:

• Het bedrijf is gevestigd in de EU
• Het bedrijf is gevestigd buiten de EU, maar levert goederen en/of diensten aan EU burgers
• Het bedrijf verzamelt persoonlijke gegevens en/of monitort het gedrag van EU burgers

De wetgeving is er in de eerste plaats gekomen voor de bescherming van privégegevens. De definitie van persoonlijke data werd gevoelig uitgebreid. We verstaan hieronder alle data die gelinkt kan worden aan een individu, zoals bankkaartgegevens, paswoorden, financiële gegevens, medische en sociale gegevens.

Met deze nieuwe wetgeving wil de EU burgers meer controle geven over hun persoonlijke data. Een tweede belangrijk doel is de verdere ondersteuning van de digitale economie. Het moet zowel grote als kleine organisaties mogelijk maken om op een gestructureerde wijze databeveiligingen in te zetten, om zo de invloed van hackers, datalekken en het verlies van gegevens te vermijden.

Wat wordt van u verwacht?

Dataverwerkers kunnen rechtstreeks verantwoordelijk worden gesteld voor de veiligheid van persoonlijke gegevens. Dit heeft zowel infrastructureel als organisatorisch behoorlijk grote gevolgen. Kort samengevat kunnen we stellen dat deze zaken van u verwacht worden:

• U informeert burgers op een transparante en begrijpelijke manier over de manier waarop en welke data u verzamelt en verwerkt
• U gebruikt de gepaste technologieën om datalekken te voorkomen
• U kan persoonsgegevens wissen wanneer de verstrekker van de data daarom vraagt, ook als de data inmiddels is gedeeld met derden in het kader van samenwerkingen
• Bij een eventueel datalek bent u verplicht dit binnen de 72 uur te melden aan de privacycommissie, tenzij kan worden bewezen dat de integriteit van de verzamelde gegevens niet in gevaar is. In geval van een veiligheidslek moet u dus tijdig gealarmeerd worden
• Er is een procedure om de technische maatregelen op regelmatige tijdstippen te testen en evalueren
• In geval van een incident kan u gepast reageren door; het lek te dichten, alle data van voor het incident terug op te roepen en aan te tonen welke stappen u heeft ondernomen om gelijkaardige incidenten te voorkomen

Heeft uw organisatie een data protection officer nodig?

Sommige bedrijven en organisaties en zullen verplicht worden een data protection officer in dienst te nemen. Deze ‘functionaris voor gegevensbescherming’ is degene die controleert of alle data naar behoren wordt bewaard, gebruikt en gedeeld.

• Hij informeert en adviseert het bedrijf over de rechten en plichten rond GDPR en helpt het bedrijf zo ‘compliant’ te worden
• Hij controleert of de wetgeving wordt nageleefd
• Hij is het contactpunt voor de externe autoriteiten

De data protection officer hoeft niet per se een vaste werknemer te worden; bedrijven kunnen ook opteren voor een consultant. Bovendien kan ook een bestaande werknemer de rol van DPO op zich nemen, zolang zijn andere taken niet in conflict komen met zijn job als DPO. Of u een DPO moet aannemen, hangt af van een paar factoren. Er zijn drie soorten bedrijven die verplicht zijn om een DPO aan te nemen:

• alle organisaties in de publieke sector (behalve rechterlijke instanties), zoals overheidsorganisaties ;
• bedrijven die bij de dataverwerking “regelmatige en stelselmatige observatie” nodig hebben, bijvoorbeeld vanwege “aard, omvang of doeleinden” van de verwerking. (Wat de wetgeving voor ogen heeft met de “aard, omvang of doeleinden”, wordt daarnaast niet concreet verduidelijkt)
• bedrijven die persoonsgegevens verwerken uit een “bijzondere categorie“, zoals informatie over ras, politieke opvattingen, religie, biometrische gegevens, gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen.

Boetes

Organisaties die niet voldoen aan de GDPR wetgeving kunnen vanaf mei 2018 beboet worden. Het is niet zo dat men beboet zullen omdat er een datalek is (een 100% veilig systeem bestaat helaas niet), maar de boetes gelden wel wanneer op onverantwoorde wijze met de data is omgegaan, als er geen degelijke beveiliging werd geïmplementeerd of als er niet tijdig en correct gerapporteerd werd in geval van een lek.

De boetes in zulke gevallen kunnen hoog oplopen; tot 20.000.000 euro of 4% van de wereldwijde jaaromzet.

GDPR: iets om nu al wakker van te liggen?

Zoals u reeds kon lezen in de voorgaande hoofdstukken heeft het uitwerken van een degelijk databeschermingsbeleid best wat voeten in de aarde. Een tijdige voorbereiding is belangrijk, zeker bij grote of complexe organisaties waar GDPR een aanzienlijke impact kan hebben op het vlak van budget, ICT, personeel, beleid en communicatie.

GDPR stappenplan

Techne liet zich het afgelopen half jaar begeleiden door implementatie experten in de GDPR wetgeving. Gelijktijdig ontwikkelden we samen met onze partners een praktisch GDPR stappenplan dat meer dan 70% van de kleine en/of middelgrote organisaties in staat moet stellen om zelfstandig of met beperkte hulp zich zo goed mogelijk in orde te stellen met de wetgeving. En dit zowel op administratief als operationeel vlak.

>> Vraag het GDPR stappenplan hier aan <<