Op 4 mei 2016 werd de Algemene Verordening Gegevensbescherming ("Verordening" of ook "GDPR") in het Publicatieblad van de Europese Unie gepubliceerd. De nieuwe Verordening zal de verwerking van persoonsgegevens in uw onderneming vanaf 25 mei 2018 ingrijpend wijzigen.
Wat verandert er met de Verordening?
De Verordening zal de bestaande Privacyrichtlijn 95/46/EG vervangen en het wetgevend kader voor gegevensbescherming ingrijpend wijzigen.
Een greep uit het arsenaal aan nieuwigheden die in de Verordening zijn opgenomen:
- extraterritoriale werking naar ondernemingen buiten de EU die goederen of diensten aanbieden in de EU;
- sterke nadruk op de verantwoordingsplicht van ondernemingen die persoonsgegevens verwerken;
- zelfstandige verplichtingen voor verwerkers van persoonsgegevens;
- versterkte rechten voor datasubjecten: recht om vergeten te worden, recht op dataportabiliteit, …
- verplichting om gegevenslekken te melden;
- verplichting om in bepaalde omstandigheden een data protection officer aan te stellen;
- invoering van principes van privacy by design en privacy by default;
- ….
Last but not least … maakt de Verordening het mogelijk om overtreders van de nieuwe regels te sanctioneren met monsterboetes tot 4% van de wereldwijde jaaromzet van de onderneming.
Wanneer treedt de Verordening in werking?
De Verordening werd op 4 mei 2016 in het Publicatieblad van de Europese Unie gepubliceerd en trad in werking op 24 mei 2016. De Verordening is van toepassing vanaf 25 mei 2018, zodat ondernemingen een periode van twee jaar krijgen om zich aan de nieuwe regels aan te passen.
Wat moet u als onderneming doen?
Ondernemingen doen er goed aan om zo snel mogelijk een gap analysis uit te voeren om hun gegevensbeschermingsprogramma’s te beoordelen. Dit vergt niet alleen een mapping van alle gegevens binnen de onderneming, maar ook onder meer van alle kanalen via dewelke een onderneming met een datasubject communiceert (privacy policies, website, contracten, nieuwsbrieven, e-commercetools, …) en van de interne procedures (bijvoorbeeld data breach policies). Eens die analyse is uitgevoerd, kunnen maatregelen worden geïdentificeerd die de onderneming toelaten om tegen 2018 met de Verordening in regel te zijn.