Privacywetgeving grondig hervormd, tijd voor actie!

De Algemene Verordening Gegevensbescherming (de “AVG”, ook bekend onder de Engelse afkorting “GDPR”) werd op 27 april 2016 goedgekeurd door het Europees Parlement. Deze verordening zal de privacywetgeving in de hele Europese Unie grondig veranderen.  

De AVG is van toepassing op elke onderneming die persoonsgegevens verwerkt. De begrippen “persoonsgegevens” en “verwerking” zijn zeer ruim gedefinieerd, zodat in feite bijna elke onderneming vroeg of laat met deze nieuwe regels geconfronteerd zal worden.

De AVG bouwt voort op de bestaande privacywetgeving, maar wijzigt deze ook substantieel. Een greep uit de belangrijkste verplichtingen onder de AVG:

  • Bepaalde privacygevoelige ondernemingen moeten verplicht een functionaris voor gegevensbescherming (Data Protection Officer) aanstellen;
  • Elke onderneming die persoonlijke gegevens laat verwerken door andere ondernemingen (bijvoorbeeld bepaalde IT-diensten, personeelsadministratie, bepaalde onderaannemers) is verplicht een schriftelijke overeenkomst af te sluiten die conform is aan de AVG en waarin de verplichtingen van deze dienstverlener of onderaannemer met betrekking tot gegevensbescherming worden vastgelegd;
  • Elke onderneming die persoonlijke data verwerkt moet een intern register van haar verwerkingsactiviteiten bijhouden, moet een passend privacybeleid hebben en moet maatregelen implementeren die voldoen aan de beginselen van ingebouwde privacy (privacy by design) en de standaard-privacy (privacy by default);
  • Elke onderneming moet voorafgaandelijk aan welbepaalde nieuwe verwerkingen van persoonsgegevens een privacy impact assessment (PIA) uitvoeren (In de AVG wordt de term data protection impact assessment (DPIA) gebruikt of, in de Nederlandse vertaling, gegevensbeschermingseffectbeoordeling);
  • In bepaalde omstandigheden moeten lekken van persoonsgegevens binnen de 72 uur aan de bevoegde autoriteit (in België de privacycommissie) gemeld worden;
  • De vereisten voor een geldige toestemming van een individu voor het verwerken van zijn persoonsgegevens worden strenger;
  • Inbreuken kunnen worden bestraft met geldboetes (tot 20 miljoen euro ofwel 4% van de wereldwijde omzet).

De AVG treedt in werking op 25 mei 2018. Tot dan hebben ondernemingen de tijd om zich in regel te stellen met de AVG.

De implementatie van al deze verplichtingen vereist evenwel de nodige tijd en aanpassingen binnen het bedrijf. Wij raden ondernemingen dan ook aan om dit thema zo snel mogelijk aan te pakken. Een eerste stap bestaat erin te (laten) analyseren welke persoonsgegevens er binnen uw bedrijf worden verwerkt en welke verplichtingen dit voor uw bedrijf met zich zal meebrengen onder de nieuwe wetgeving.

Voor meer informatie en advies, aarzel niet om met ons contact op te nemen.

Advocaat-Vennoot Johan Van Driessche (johan.vandriessche@everest-law.be)

Advocaat-Medewerker Jasper D'Hooghe (Jasper.DHooghe@everest-law.be)