AVG, wat is dat?

De Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd, is het geheel van regels dat een betere controle over de toegankelijkheid tot en bescherming van persoonsgegevens waarborgt. De regels gelden voor alle bedrijven in de Europese Unie en zal in België de huidige Privacywet vervangen. De verordening is in werking getreden op 24 mei 2016 en zal vanaf 25 mei 2018 rechtstreeks, zonder omzetting in nationale wetgeving, van toepassing zijn in alle lidstaten. Vanaf 25 mei 2018 zullen bedrijven die persoonsgegevens verzamelen, volledig moeten voldoen aan  de AVG. Voor bedrijven is het niet langer voldoende een good practice voor gegevensbescherming te voorzien. De AVG regelt alles strikt en expliciet. Het is aangewezen gebruik te maken van de overgangsperiode om de praktijk aan te passen aan de nieuwe regelgeving.

Wat zijn de voor- en nadelen van de AVG?

Het grootste voordeel is de potentiële harmonisatie van de versnipperde regelgeving. Bedrijven moesten tot nog toe rekening houden met de regels over databescherming van 28 verschillende lidstaten. Binnenkort zorgt de AVG voor één juridisch kader dat in heel Europa geldt. Dit zou voornamelijk KMO’s ten goede komen als ze hun activiteiten in het buitenland wensen uit te breiden, aangezien ze slechts rekening moeten houden met één regelgevend kader. Recente schattingen geven aan dat bedrijven jaarlijks zo’n 2,3 miljard euro zouden kunnen besparen dankzij de AVG. Geld dat normaal naar advocaten en consultants zou gaan om het kluwen van toepasselijke wetgevingen te ontwarren.

Desondanks heeft de AVG al heel wat kritiek te verduren gekregen. Een van de pijnpunten is dat een verordening een Europese wet is die in alle lidstaten volledig en rechtstreeks van toepassing is. De AVG bevat echter bepalingen die ruimte laten voor interpretatie. Een verschillende benadering door de lidstaten, ingegeven door de cultuur en de prioriteiten van de toezichthouders, is dus niet ondenkbaar. In welke mate de AVG haar harmonisatieopzet zal bereiken is bijgevolg onzeker.

Waar moet u rekening mee houden?

Transparantie en vrije toestemming

De AVG beoogt meer transparantie. Als bedrijf dient u burgers te informeren over hoe de data verzameld en verwerkt worden. Deze informatie moet op een duidelijke en begrijpbare manier worden gecommuniceerd aan de betrokkene. Bovendien is de verwerking door bedrijven slechts rechtmatig wanneer de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden. Deze toestemming moet vrij, geïnformeerd, specifiek en ondubbelzinnig zijn. Een impliciete toestemming is niet langer voldoende, het betreft een actieve handeling. Bovendien volstaat het niet enkel de toestemming te krijgen, dit moet ook kunnen worden aangetoond.

De grote vernieuwing ligt in de beoordeling of de toestemming vrij werd gegeven. De hamvraag is of de betrokkene een echte keuze heeft: kan hij zijn toestemming weigeren of intrekken zonder nadelige gevolgen? De Privacycommissie geeft een verhelderend voorbeeld: een verplichte toestemming om locatiegegevens te delen bij het downloaden van een ‘zaklamp-applicatie’. Het doorgeven van locatiegegevens is niet noodzakelijk voor de uitvoering van een overeenkomst die de verkoper van deze app met de betrokkene sluit, namelijk zorgen dat een lampje gaat branden. Het verstrekken van een ‘zaklampdienst’ mag dus niet afhangen van de toestemming om locatiegegevens te delen, want de toestemming is in dat geval niet vrij.

Verder voorziet de AVG in een aantal rechten voor de betrokkene. Hij heeft het recht op informatie en toegang tot zijn persoonsgegevens, recht op bezwaar tegen directe marketingpraktijken, recht op bezwaar tegen geautomatiseerde besluitvorming, profilering en overdraagbaarheid van gegevens en ‘het recht op vergetelheid’. Het recht op vergetelheid is een ongelukkig gekozen term die de betrokkene het recht geeft om onder bepaalde voorwaarden gegevens te doen wissen. Deze rechten bestonden reeds onder de Belgische Privacywet. Indien uw bedrijf reeds voldoet aan de vereisten van de Privacywet zal de overgang normaal gezien vlot verlopen. Overloop uw bestaande procedures voor de zekerheid en toets deze af aan de voorwaarden van de AVG.

Een nieuwigheid die logistieke problemen met zich zou kunnen meebrengen is de bepaling over het verzoek tot toegang. Voortaan moet uw bedrijf gratis en binnen 30 dagen het verzoek tot toegang tot de persoonsgegevens van de betrokkene behandelen. Indien uw bedrijf een groot aantal verzoeken ontvangt, kan het tijdig behandelen van verzoeken een struikelblok zijn. De Privacycommissie suggereert dat het voor sommige bedrijven zinvol en kostenbesparend kan zijn te voorzien in een online toegangssysteem, waar de betrokkende de gegevens zelf online kan raadplegen. Deze afweging kan u als bedrijf best zelf maken aan de hand van een kosten-batenanalyse.

Bescherming van data en detectie en van gegevenslekken

Het is aangewezen om met persoonsgegevens zeer zorgvuldig om te gaan. U doet er goed aan om al uw verwerkingen te registreren. Behoorlijk documenteren helpt u bij het naleven van de verantwoordingsbeginsel van de AVG. Deze vereiste houdt in dat een bedrijf moet kunnen aantonen dat het de AVG-regelgeving naleeft. Een zorgvuldige verwerking maakt een degelijke bescherming mogelijk. Een goede procedure zorgt niet enkel voor een sterk bewijs, maar gaat gegevenslekken tegen en maakt ze in voorkomend geval opspoorbaar.

Daarnaast moet u ook een wettelijke grondslag voorzien voor elk type van gegevensverwerking. De wettelijke grondslagen van de AVG lopen gelijk met deze opgesomd in de Privacywet. Kort samengevat komt het er op neer dat u nagaat welke gegevensverwerking u uitvoert, vervolgens bepaalt u de wettelijke grondslag en tot slot dient u dit zorgvuldig te documenteren met het oog op de verantwoordingsbeginsel.

Wat bij een gegevenslek?

Een grote verandering voor bedrijven is de meldplicht bij gegevenslekken. Bedrijven zijn verplicht een gegevenslek te melden binnen de 72 uur aan de Privacycommissie, tenzij kan worden aangetoond dat de lek geen gevaar is voor de verzamelde persoonsgegevens. De reactie op zo’n lek is van cruciaal belang. Er dient een adequate procedure voor handen te zijn om dergelijke lekken op te sporen, hetzij door een intern hetzij door een extern team. Hierdoor kunnen dergelijke gegevenslekken niet enkel opgespoord maar tevens worden vermeden in de toekomst. Er moet bovendien een uitgebreid rapport opgesteld worden. Dit rapport zal doorslaggevend zijn om geldboetes opgelegd door de regulator te vermijden. De verantwoordelijkheid om gegevenslekken te melden ligt bij de bedrijven zelf. Hier hebben grotere bedrijven een streepje voor. Zij moeten, afhankelijk van hun grootte en omzet, een veiligheidsconsulent, ook wel gekend als een Data Protection Officer (DPO) aanstellen die verantwoordelijk is voor de juiste gang van zaken rond de beveiliging van persoonsgegevens. Voor KMO’s ligt dit anders. Zij beschikken vaak niet over de mankracht om voortdurend aan de slag te zijn op het vlak van cybersecurity en zien dit vaak ook niet als prioritair. Ze wenden ze zich wel steeds vaker naar externe experts om hierbij te helpen.

Aan de slag!

De Privacycommissie raadt aan om zo snel mogelijk aan de slag te gaan, want uitstel kan zeer vervelende gevolgen hebben. Zorgen voor transparantie, vrije toestemming, zorgvuldig beheer en bescherming tegen gegevenslekken zijn cruciaal voor alle ondernemers die persoonsgegevens gebruiken voor hun commerciële actie. Het correct rapporteren van gegevenslekken is tenslotte van groot belang. De regulator zal immers op basis van dit rapport beslissen of het lek moet gemeld worden aan de buitenwereld en ook hoeveel de boete zal bedragen indien er niet correct werd gehandeld. Een verwittigd man is er twee waard!

 

Deze juridische bijdrage werd geschreven door Eline Van Bogget.