De impact van de nieuwe Europese privacyregels op de e-commerce sector (bijdrage eerstdaags te verschijnen in Twinkle Magazine)

 

De voorbije maanden kon u er in de vakpers moeilijk naast kijken: het Europese privacyrecht verandert vanaf volgend jaar en de nieuwe regels worden heel wat strenger dan vandaag.  Toch lijkt het voor heel wat online ondernemers nog erg onduidelijk wat de impact op hun business is. 

Nieuwe Europese privacyregels?

Eind vorig jaar keurde de EU definitief de General Data Protection Regulation (GDPR) goed.  Deze verordening moet vanaf mei 2018 in de ganse Europese unie op uniforme wijze de regels bepalen waar ondernemers rekening moeten houden als ze persoonsgegevens bewaren of gebruiken.  Die GDPR vervangt de nationale wetgeving van de lidstaten, die meestal dateert uit de vroege jaren negentig en dus al lang niet meer aangepast is aan de digitale realiteit van de eenentwintigste eeuw.

Waarover gaat die GDPR dan?

De verordening valt uit elkaar in een aantal onderdelen, waarvan er twee van rechtstreeks belang zijn voor ondernemers.

Een eerste reeks regels bepaalt hoe persoonsgegevens verzameld mogen worden.  Hierin wordt onder meer geregeld wanneer een opt-in nodig is, hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden.  Ook strenge regels rond profiling van klanten of prospects zijn hierin voorzien.  Veel van deze regels bestonden vroeger al, maar worden vanaf 2018 duidelijk veel strenger.

Een tweede reeks regels is echt nieuw.  Die gaan over de interne organisatie van bedrijven.  Zo wordt een verplichting opgelegd voor elk bedrijf om een “privacy impact assessment” te maken, een soort van veiligheidsaudit waarin bedrijven moeten onderzoeken hoe ze met data omgaan en welke risico’s op verlies of diefstal van hun data zij lopen.  Op basis daarvan moet een actieplan opgezet worden om die risico’s weg te nemen.  Voor heel wat bedrijven komt daar de verplichting bij om een “data protection officer” in dienst te nemen, een soort van preventieadviseur voor privacy.  Dat kan overigens een externe consultant zijn die enkele uren per week of maand beschikbaar is.

De verordening brengt nog heel wat andere nieuwigheden met zich mee, zoals bijvoorbeeld een meldplicht bij datalekken: als gegevens verloren gaan of gestolen worden moeten de overheid én de betrokken klanten binnen 72 uur verwittigd worden.

Geldt dit allemaal ook voor mij als webshop?

De nieuwe verordening geldt voor iedereen die persoonsgegevens bijhoudt of verwerkt.  Elk bedrijf dat een database heeft met klantengegevens, prospects, personeelsgegevens, gegevens van toeleveranciers, … is verplicht om zich in regel te stellen.

Dit geldt bij uitstek voor online activiteiten zoals webshops, online marketing, app bouwers, …  al die beroepen draaien bij uitstek op data en aangezien de verordening geen onderscheid maakt tussen grote en kleine bedrijven, moet elke webshop in de EU zich tegen mei 2018 in regel stellen.

Wat moet er precies gebeuren?

In de eerste plaats is het belangrijk om te weten dat mei 2018 een einddatum is.  De verordening gaat dan in werking en er is géén overgangstermijn voorzien om zich nog in regel te stellen.  Vanaf mei 2018 kunnen bedrijven dus (bijzonder hoge) boetes oplopen.  Bovendien zullen zij vanaf dan, en wellicht al vroeger, steeds vaker van klanten en toeleverancier te horen krijgen dat zij moeten aantonen dat ze “GDPR compliant” zijn.  Een van de verplichtingen onder de nieuwe verordening is immers precies om enkel te werken met “veilige” bedrijven en om altijd en overal geschreven contracten met de nodige garanties te voorzien. Het is dus erg belangrijk om tijdig aan de slag te gaan.

Wat precies nodig is, hangt af van bedrijf tot bedrijf.  In grote lijnen komt het erop neer dat een privacy audit vereist is, waarbij in kaart gebracht wordt welke data gebruikt wordt binnen het bedrijf, waar die vandaan komt, wie er toegang toe heeft, welke onderaannemers (bvb online marketing bedrijf) die gegevens in handen krijgen, etc… om op die manier tot een inschatting van veiligheidsrisico’s te komen.  Op basis daarvan kan met aan de slag voor het doorvoeren van de nodige aanpassingen op drie niveaus: het voorzien van bijkomende technische beveiliging waar nodig, het aanpassen van processen binnen het bedrijf en het aanpassen van contracten met leveranciers, arbeidsovereenkomsten, arbeidsreglementen, “bring your own device policies” etc…

Voor heel wat bedrijven brengt dit aardig wat meer werk met zich mee dat ze initieel verwacht hadden.  Tijdig starten is dus de boodschap.

Vragen over GDPR compliance?

Neem gerust vrijblijvend contact op met ons op bart@siriuslegal.be of op 0486 901 931.  Ons team staat dit jaar en volgende jaar talloze bedrijven bij in hun GDPR compliancy traject.  we werken hiervoor samen met een team van ervaren IT-specialisten en data engineers, waardoor we u doorheen het ganse traject naar GDPR compliance kunnen bijstaan.