Nieuwe Europese privacyregels definitief – vanaf 2018 van toepassing

6 juni 2016

We kondigden al aan dat na vier jaar voorbereiding het Europees Parlement op 14 april 2016 de regels heeft goedgekeurd van de algemene verordening gegevensbescherming (AVG) ofwel de general data protection regulation (GDPR), de nieuwe privacyverordening. Het was nog wachten op de publicatie van de definitieve tekst in het Europees Publicatieblad. Deze publicatie volgde op 4 mei 2016.

Deze verordening harmoniseert de bestaande privacyregelgeving. Het nieuwe pakket maatregelen vervangt de privacyrichtlijn 95/46/EG, die sinds 1995 van kracht is en niet meer aansluit bij het huidige digitale tijdperk.
 
De verordening heeft tot doel de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en om burgers meer controle te geven over het gebruik van hun persoonlijke gegevens.
 
Het brengt een aantal belangrijke veranderingen met zich mee. De AVG vormt een versterking van de gegevensbescherming voor de burgers:
  • burgers zullen hun expliciete toestemming moeten geven opdat bedrijven hun persoonlijke gegevens kunnen gebruiken;
  • het ‘recht om vergeten te worden’ wordt opgenomen;
  • bedrijven kunnen worden gestraft met hoge boetes wanneer ze niet voldoen aan de bepalingen van de verordening;
  • bepaalde bedrijven zullen ook een data protection officer moeten aanstellen die moet toezien op de naleving van de nieuwe regelgeving;
 
De verordening is in werking getreden op 24 mei 2016 en zal vanaf 25 mei 2018 rechtstreeks, zonder omzetting in nationale wetgeving, van toepassing zijn in de lidstaten.
 
Wat betekent dit voor de publieke sector?
 
Deze verordening is zowel van belang voor de publieke als voor de private sector. 

 

 

Juridische inhoud

1.   Context en draagwijdte
Na vier jaar voorbereiding heeft het Europees Parlement op 14 april 2016 de regels goedgekeurd van de nieuwe privacyverordening. Op 4 mei 2016 is de Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) gepubliceerd in het Europees Publicatieblad.
 
Deze verordening harmoniseert de bestaande privacyregelgeving. Op Europees niveau bestaat er al sinds 1995 een richtlijn die door alle lidstaten is omgezet in nationaal recht en die bepaalt hoe en wanneer bedrijven persoonsgegevens mogen verzamelen, verwerken en doorgeven aan derden. Het nieuwe pakket maatregelen vervangt de privacyrichtlijn 95/46/EG, die niet meer aansluit bij het huidige digitale tijdperk.
 
Naast de harmonisering van de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten, wil de AVG burgers meer controle geven over het gebruik van hun persoonlijke gegevens en de administratieve lasten verlagen voor organisaties.
 
Belangrijk is dat het gaat om een verordening en niet om een richtlijn. Waar richtlijn 95/46/EG moest worden omgezet in elke lidstaat naar nationale wetten, is de algemene verordening gegevensbescherming rechtstreeks geldig. Er zal bijgevolg in heel de EU een gelijke regelgeving zijn. De AVG biedt wel de lidstaten nog steeds de mogelijkheid om eigen accenten te leggen en de nationale wetgeving aan te passen aan de eigen gebruiken omtrent de bescherming van persoonsgegevens. Men kan zich bijgevolg wel afvragen in welke mate de verordening daadwerkelijk zal harmoniseren.
 
2.   Toepassingsgebied
Een belangrijke wijziging is de uitbreiding van het territoriale toepassingsgebied van de verordening. Het territoriale toepassingsgebied is ingrijpend geherdefinieerd.
 
De verordening is van toepassing voor alle activiteiten van een vestiging van verantwoordelijken van een verwerking of een verwerker in de EU, ongeacht of het verwerken van de gegevens op zich in de EU plaatsvindt of niet. Onder de richtlijn bestond dit uitgangspunt ook, maar toen betrof deze regel enkel de verantwoordelijke voor de verwerking.
 
De AVG is echter ook van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een verwerkingsverantwoordelijke of verwerker buiten de Unie, indien de verwerking verband houdt met:
  • het aanbieden van goederen of diensten aan betrokkenen in de Unie;
  • het monitoren van hun gedrag.
 
Deze bepaling is een aanzienlijke uitbreiding van het toepassingsgebied van de EU-regelgeving tot partijen buiten de Unie.

 

3.   Herneming bestaande principes
De verordening herneemt in grote mate de beginselen van de huidige richtlijn 95/46/EG.
Zo wordt het beginsel dat persoonsgegevens rechtmatig en eerlijk moeten worden verwerkt, vervolledigd met de verduidelijking dat de persoonsgegevens voor de betrokkene op een transparante wijze moeten worden verwerkt.
 
Ook wordt in de verordening toegevoegd dat slechts een minimum aan gegevens noodzakelijk voor een bepaald doeleinde mogen verwerkt worden (‘gegevensminimalisatie’).
 
De AVG haalt ook aan dat de persoonsgegevens door het nemen van passende technische of organisatorische maatregelen op een manier moeten worden verwerkt die:
  • een passende beveiliging waarborgt;
  • beschermt tegen ongeoorloofde of onrechtmatige verwerking;
  • beschermt tegen onopzettelijk verlies, vernietiging of beschadiging.

 

4.   Belangrijke verplichtingen voor bedrijven
De verordening brengt heel wat belangrijke nieuwe verplichtingen met zich mee voor bedrijven. Er worden nieuwe vereisten inzake gegevensbescherming ingevoerd.
 
De AVG zal pas vanaf 2018 van toepassing zijn. Toch is het aangeraden om als onderneming nu al actie te ondernemen. De beveiliging is niet slechts een technische maar ook een organisatorische kwestie. De verordening eist dat in organisaties op alle relevante niveaus aandacht wordt besteed aan bewustwording op het gebied van privacy en beveiliging van gegevens. Het is aan te raden ruim vóór 2018 aandacht te besteden aan deze bewustwording en de overige eisen die de Verordening aan gegevensverwerking stelt.

 

4.1.   Aanstellen van een data protection officer
Bepaalde bedrijven zullen een data protection officer (DPO) moeten aanstellen.
 
De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in volgende gevallen:
  • de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, omvang en/of doelstellingen regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens (bijvoorbeeld persoonsgegevens waaruit ras, politieke opvattingen of religieuze overtuigingen blijken) en van persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.
 
Andere bedrijven kunnen een DPO aanwijzen maar zijn hiertoe niet verplicht.
 
Deze functionaris voor gegevensbescherming moet erop toezien of het privacybeleid in overeenstemming is met de AVG en is een adviseur van de verwerkingsverantwoordelijke of de verwerker. Verder moet hij ook optreden als contactpersoon voor de toezichthouder.
 
Een concern kan één DPO benoemen mits hij makkelijk te contacteren is vanuit elke vestiging.
 
Een DPO kan een werknemer van de verwerkingsverantwoordelijke of de verwerker zijn maar kan de taken ook op grond van een dienstverleningsovereenkomst verrichten.
 
De verwerkingsverantwoordelijke of de verwerker moet de contactgegevens van de DPO bekend maken en meedelen aan de toezichthoudende autoriteit (in België is dit de Privacy Commissie).

 

4.2.   Striktere toestemming
De verwerking is onder andere rechtmatig wanneer de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden.
 
Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens. Het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig zijn gepresenteerd dat een duidelijk onderscheid gemaakt kan worden met andere aangelegenheden.
 
De toestemming moet door een duidelijke actieve handeling worden gegeven. Daaruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Dit kan bijvoorbeeld door het klikken op een vakje op een internetwebsite. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit geldt niet als toestemming.
 
Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend.
 
De betrokkene kan bovendien zijn toestemming ten allen tijden intrekken. De intrekking moet even eenvoudig zijn als het geven ervan.
 
Voor de toestemming van kinderen gelden specifieke regels. Wanneer het kind jonger is dan 16 jaar, is de verwerking alleen dan rechtmatig wanneer de toestemming of machtiging tot toestemming wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

 

4.3.   Privacy by design en by default
'Privacy by design' betekent dat bij het ontwerpen van nieuwe verwerkingen, de onderneming bescherming van persoonsgegevens vanaf het begin van het proces moet meenemen.
 
De verwerkingsverantwoordelijke moet al in een vroeg stadium, bij het ontwerp, rekening houden met de verplichtingen van gegevensbescherming. Hij moet passende technische en organisatorische maatregelen treffen om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen.
 
‘Privacy by default’ houdt in dat de verwerking als standaardinstelling moet hebben dat privacy zoveel mogelijk wordt gewaarborgd. Mechanismen moeten als uitgangspunt slechts het minimum van noodzakelijke gegevens voor elk doeleinde verzamelen en bijhouden.
 
De verwerkingsverantwoordelijke moet passende technische en organisatorische maatregelen nemen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Deze verplichting geldt voor:
  • de hoeveelheid verzamelde persoonsgegevens;
  • de mate waarin zij worden verwerkt;
  • de termijn waarvoor zij worden opgeslagen;
  • de toegankelijkheid daarvan.

 

4.4.   Impactanalyse
De verwerkingsverantwoordelijke moet vóór de verwerking een beoordeling uitvoeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens wanneer de verwerking een hoog risico inhoudt. Een hoog risico kan bestaan omwille van de aard, de omvang, de context of de doeleinden van de verwerking.
 
De AVG somt een aantal gevallen op waarin zich dergelijke specifieke risico’s voordoen. Dit is zo bij een grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.
 
De verordening bepaalt hoe de beoordeling van het effect op de gegevensbescherming moet gebeuren.
 
Indien er een DPO in de onderneming is aangewezen, moet de verwerkingsverantwoordelijke bij het uitvoeren van deze beoordeling de DPO om advies vragen.

 

4.5.   Voorafgaande raadpleging
Wanneer uit de impactanalyse blijkt dat de verwerking een hoog risico kan opleveren, moet de verwerkingsverantwoordelijke de toezichthoudende autoriteit raadplegen voorafgaand aan de verwerking.
 
Wanneer de toezichthoudende autoriteit (België: Privacy Commissie) van oordeel is dat de voorgenomen verwerking inbreuk zou maken op de verordening, geeft de toezichthoudende autoriteit binnen een maximumtermijn van 8 weken na de ontvangst van het verzoek om raadpleging schriftelijk advies. Deze termijn kan met 6 weken worden verlengd voor complexe verwerkingen.

 

4.6.   Meer transparantie
De verwerkingsverantwoordelijke moet passende maatregelen nemen opdat betrokkenen de informatie en communicatie met betrekking tot de verwerking van hun persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangen.
 
Zo moeten betrokkenen volgende informatie krijgen bij het verstrekken van persoonsgegevens:
  • de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van diens vertegenwoordiger;
  • de contactgegevens van de DPO, als die er is;
  • de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;

 

4.7.   Register verwerkingsactiviteiten vervangt aangifte bij Privacy Commissie
De verplichting om verwerkingen van persoonsgegevens aan te melden bij de nationale toezichthouders (België: Privacy Commissie) verdwijnt.
 
De verwerkingsverantwoordelijke moet in de plaats daarvan wel een register van de verwerkingsactiviteiten bijhouden. Dit register moet volgende gegevens omvatten:
  • de naam en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de DPO;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
 
De verwerkingsverantwoordelijke moet met andere woorden op elk moment een courante inventaris van verwerkingen hebben.
 
Ook de verwerker moet een register bijhouden van alle categorieën van verwerkingsactiviteiten die ze voor een verwerkingsverantwoordelijke hebben verricht. Dit register moet volgende gegevens bevatten:
  • de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt en in voorkomend geval van hun vertegenwoordigers en van de DPO;
  • de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
 
Deze verplichting voor verwerkingsverantwoordelijken en verwerkers is niet van toepassing op ondernemingen die minder dan 250 personen in dienst hebben, tenzij:
  • het risico op schending van de privacy reëel is;
  • de verwerking regelmatig is;
  • of de verwerking bijzondere categorieën van gegevens, zoals bijvoorbeeld persoonsgegevens waaruit ras, politieke opvattingen of religieuze overtuigingen blijken, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten betreft.

 

4.8.   Meldplicht inbreuk
De verwerkingsverantwoordelijke moet een inbreuk in verband met persoonsgegevens melden aan de bevoegde toezichthoudende overheid (België: Privacy Commissie), indien mogelijk binnen de 72 uur. Indien de inbreuk waarschijnlijk geen risico inhoudt voor de privacy van natuurlijke personen, moet de inbreuk niet gemeld worden.
 
De verwerker moet de verwerkingsverantwoordelijke informeren zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Hij moet alle inbreuken in verband met persoonsgegevens documenteren, ook de feiten van de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen.
 
Daarnaast moet de verwerkingsverantwoordelijke de inbreuk ook melden aan de betrokkene wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de privacy van natuurlijke personen tenzij een van volgende voorwaarden is vervuld:
  • de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
  • de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen;
  • de mededeling zou onevenredige inspanningen vergen. In dit geval komt er in de plaats een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

 

5.   Rechten voor burgers
Burgers krijgen een heel aantal nieuwe rechten met betrekking tot hun persoonsgegevens. Ze krijgen meer controle over het gebruik van hun persoonlijke gegevens.

 

5.1.   Recht op inzage
De betrokkene heeft het recht om inzage te verkrijgen van zijn persoonsgegevens die verwerkt worden en van de volgende informatie:
  • de verwerkingsdoeleinden;
  • de betrokken categorieën van persoonsgegevens;
  • van het recht van de betrokkene om klacht in te dienen bij een toezichthoudende autoriteit;
5.2.   Recht op rectificatie
De betrokkene heeft het recht onjuiste persoonsgegevens te laten verbeteren en om onvolledige persoonsgegevens te laten vervolledigen.
 
De verwerkingsverantwoordelijke moet iedere ontvanger aan wie persoonsgegevens verder zijn verstrekt in kennis stellen van een rectificatie van persoonsgegevens.

 

5.3.   Recht om vergeten te worden
De betrokkene heeft het recht om zijn persoonsgegevens te laten verwijderen. Dit recht is echter enkel onder bepaalde voorwaarden van toepassing. De verwerkingsverantwoordelijke is verplicht om persoonsgegevens te wissen in volgende gevallen:
  • de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld;
  • de betrokkene trekt zijn toestemming in waarop de verwerking is berust en er is geen andere rechtsgrond voor de verwerking;
  • de persoonsgegevens zijn onrechtmatig verwerkt;
 
Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, moet hij redelijke maatregelen nemen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken op de hoogte te stellen dat de betrokkene heeft verzocht om zijn persoonsgegevens te wissen.
 
Dit recht is niet van toepassing indien de verwerking nodig is:
  • voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
  • voor het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting of voor het vervullen van een taak van algemeen belang of het uitoefenen van openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
  • om redenen van algemeen belang op het gebied van volksgezondheid;
  • met het oog op archivering in het algemeen belang, wetenschappelijke of historisch onderzoek of statistische doeleinden, voor zover het recht om vergeten te worden de verwezenlijkingen van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
  • voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
 
De verwerkingsverantwoordelijke moet iedere ontvanger aan wie persoonsgegevens verder zijn verstrekt in kennis stellen van elke wissing van persoonsgegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Indien de betrokkene hierom verzoekt, moet de verwerkingsverantwoordelijke informatie over deze ontvangers verstrekken.

 

5.4.   Recht op beperking van de verwerking
De betrokkene heeft het recht om de verwerking van zijn gegevens te beperken indien:
  • de betrokkene de juistheid van zijn persoonsgegevens betwist. In dat geval moet de verwerking beperkt worden tot de persoonsgegevens die gecontroleerd zijn door de verwerkingsverantwoordelijke;
  • de verwerking onrechtmatig is maar de betrokkene zich verzet tegen het wissen van de persoonsgegevens;
  • de persoonsgegevens niet meer nodig zijn voor de verwerkingsdoeleinden maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • de betrokkene bezwaar heeft gemaakt tegen de verwerking. In dat geval moet de verwerking beperkt worden in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
 
Wanneer de verwerking is beperkt, mogen de persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt worden:
  • met toestemming van de betrokkene;
  • of voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • of ter bescherming van de rechten van een andere persoon of rechtspersoon;
  • of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.
 
De verwerkingsverantwoordelijke moet iedere ontvanger aan wie persoonsgegevens verder zijn verstrekt in kennis stellen van elke beperking van de verwerking.

 

5.5.   Recht op overdraagbaarheid van gegevens
De betrokkene heeft het recht zijn persoonsgegevens die hij heeft verstrekt aan een verwerkingsverantwoordelijke, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen indien:
  • de verwerking berust op toestemming of op een overeenkomst;
  • de verwerking via geautomatiseerde procedés wordt verricht.
 
De betrokkene heeft het recht dat zijn persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden.
 
De bedoeling van deze bepaling is om betrokkene toe te laten op eenvoudige wijze van dienstverlener te veranderen.  
 
5.6.   Recht van bezwaar
De betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens. De verwerkingsverantwoordelijke moet de verwerking van de persoonsgegevens staken tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die:
  • zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene;
  • verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

 

5.7.   Klacht bij de toezichthoudende autoriteit
Iedere betrokkene heeft het recht om een klacht in te dienen bij de toezichthoudende autoriteit (België: Privacy Commissie) in de lidstaat waar hij gewoonlijk verblijft, waar hij zijn werkplek heeft of waar de beweerde inbreuk is begaan wanneer hij meent dat de verwerking van zijn persoonsgegevens inbreuk maakt op de verordening.

 

6.   Verwerkers nu ook mee verantwoordelijk
In tegenstelling tot de huidige Europese regelgeving voor gegevensbescherming zullen veel van de nieuwe regels ook van toepassing zijn op gegevensverwerkers, terwijl vroeger enkel de verantwoordelijke voor de verwerking aansprakelijk kon worden gesteld.
 
Eenieder die schade heeft geleden ten gevolge van een inbreuk op de verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te krijgen voor de geleden schade.
 
Elke verwerkingsverantwoordelijke die bij de verwerking betrokken is, is aansprakelijk voor de schade die veroorzaakt wordt door verwerking die inbreuk maakt op de verordening. Ook de verwerker is aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer:
  •  bij de verwerking niet is voldaan aan de verplichtingen voor de verwerkers van deze verordening;
  • buiten of in strijd met de instructies van de verwerkingsverantwoordelijke is gehandeld.
 
Indien meerdere verwerkingsverantwoordelijken of verwerkers bij een verwerking betrokken zijn en verantwoordelijk zijn voor de schade die veroorzaakt is door de verwerking, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gehouden.

 

7.   Sancties
Een grote wijziging is dat nu ook strenge sancties voorzien zijn voor het niet-naleven van de privacy voorschriften.
 
Met de nieuwe regels kunnen alle toezichthoudende autoriteiten administratieve boetes opleggen tot 20 000 000 euro of tot 4% van de jaaromzet indien dit cijfer hoger is.
De AVG geeft wel ruimte om boetes te matigen afhankelijk van de omstandigheden van het geval. Het opleggen van een boete is niet verplicht.  
 
De verordening geeft aan dat bij het opleggen van boetes onder andere rekening gehouden moet worden met het feit of de dader:
  • de inbreuk opzettelijk pleegde of nalatig was;
  • voldoende aandacht besteedde aan beveiliging;
  • voldoende gegevensbescherming door ontwerp (‘by design’) en standaardinstellingen (‘by default’) toepaste.
 
8.   En nu?
De verordening is in werking getreden op 24 mei 2016 en zal vanaf 25 mei 2018 rechtstreeks, zonder omzetting in nationale wetgeving, van toepassing zijn in de lidstaten. Lidstaten en ondernemingen hebben 2 jaar de tijd om zich voor te bereiden. Onze nationale wetgever zal wellicht nog een aantal aspecten verder invullen, concretiseren of verfijnen.
 
De AVG zal een belangrijke impact hebben op ondernemingen, in het bijzonder op de werkgever-werknemer relatie. Een bedrijf moet rekening houden met de verplichtingen van de verordening telkens persoonsgegevens worden verwerkt van een werknemer, zoals bijvoorbeeld adresgegevens, loonberekeningen en evaluaties.
 
Bedrijven hebben nog even tijd om zich aan te passen, toch is het aangeraden nu al actie te ondernemen. Zo moet onder meer de data-architectuur aangepast worden zodat het recht van de betrokkenen op bijvoorbeeld wissing, verbetering en overdraagbaarheid gegarandeerd kan worden.
 
Gegevensbescherming wordt veel belangrijker, de sancties veel zwaarder. Bedrijven zullen:
  • een risico-analyse moeten maken: welke gegevens worden verwerkt? Hoe groot is het risico dat de privacy geschonden wordt?;
  • maatregelen moeten nemen om de privacy te waarborgen: opleiding voorzien om medewerkers attent te maken op de risico’s;
  • alle acties moeten documenteren.
 
In afwachting van verdere uitwerking door de Belgische wetgever, moet u als werkgever vooral uw “privacyreflex” vergroten. Hopelijk reikt de Belgische wetgever een praktische gedragscode aan en verduidelijkt hij de criteria voor de aanstelling van een DPO. Wij kijken er alvast naar uit.