De impact van de nieuwe Europese privacyregels op KMO’s (artikel eerstdaags te verschijnen in De Vlaamse Ondernemer)

 

De voorbije maanden kon u er in de pers moeilijk naast kijken: het Europese privacyrecht verandert vanaf volgend jaar en de nieuwe regels worden heel wat strenger dan vandaag.  Toch lijkt het voor heel wat ondernemers nog erg onduidelijk wat de impact op hun business is. 

Nieuwe Europese privacyregels?

Eind vorig jaar keurde de EU definitief de General Data Protection Regulation (GDPR) goed.  Deze verordening moet vanaf mei 2018 in de ganse Europese unie op uniforme wijze de regels bepalen waar ondernemers rekening moeten houden als ze persoonsgegevens bewaren of gebruiken.  Die GDPR vervangt de nationale wetgeving van de lidstaten, die meestal dateert uit de vroege jaren negentig en dus al lang niet meer aangepast is aan de digitale realiteit van de eenentwintigste eeuw.

Waarover gaat die GDPR dan?

De economie van de eenentwintigste eeuw draait op data.  Klantgegevens, marketingdatabases met profielen van potentiële klanten, “big data” zijn voor heel wat ondernemers de kern van hun business geworden.  Het gevolg daarvan is dat er een wildgroei is aan applicaties en toepassingen om met die data om te gaan en daarbij wordt al te vaak het belang van de burger of consument uit het oog verloren.  Om de “data-economie” in goede banen te leiden heeft de EU deze General Data Protection Regulation in het leven geroepen.

De verordening valt uit elkaar in een aantal onderdelen, waarvan er twee van rechtstreeks belang zijn voor ondernemers.

Een eerste reeks regels bepaalt hoe persoonsgegevens verzameld mogen worden.  Hierin wordt onder meer geregeld wanneer een opt-in nodig is, hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden.  Ook strenge regels rond profiling van klanten of prospects zijn hierin voorzien.  Veel van deze regels bestonden vroeger al, maar worden vanaf 2018 duidelijk veel strenger.

Een tweede reeks regels is echt nieuw.  Die gaan over de interne organisatie van bedrijven.  Zo wordt een verplichting opgelegd voor elk bedrijf om een “privacy impact assessment” te maken, een soort van veiligheidsaudit waarin bedrijven moeten onderzoeken hoe ze met data omgaan en welke risico’s op verlies of diefstal van hun data zij lopen.  Op basis daarvan moet een actieplan opgezet worden om die risico’s weg te nemen.  Voor heel wat bedrijven komt daar de verplichting bij om een “data protection officer” in dienst te nemen, een soort van preventieadviseur voor privacy.  Dat kan overigens een externe consultant zijn die enkele uren per week of maand beschikbaar is.

De verordening brengt nog heel wat andere nieuwigheden met zich mee, zoals bijvoorbeeld een meldplicht bij datalekken: als gegevens verloren gaan of gestolen worden moeten de overheid én de betrokken klanten binnen 72 uur verwittigd worden.

Geldt dit allemaal ook voor mij als KMO?

De nieuwe verordening geldt voor iedereen die persoonsgegevens bijhoudt of verwerkt.  Elk bedrijf dat een database heeft met klantengegevens, prospects, personeelsgegevens, gegevens van toeleveranciers, … is verplicht om zich in regel te stellen.

Dat is met andere woorden zowat élk bedrijf of élke ondernemer en aangezien de verordening geen onderscheid maakt tussen grote en kleine bedrijven, moet ook elke KMO zich wel degelijk tegen mei 2018 in regel stellen.

Wat moet er precies gebeuren?

In de eerste plaats is het belangrijk om te weten dat mei 2018 een einddatum is.  De verordening gaat dan in werking en er is géén overgangstermijn voorzien om zich nog in regel te stellen.  Vanaf mei 2018 kunnen bedrijven dus (bijzonder hoge) boetes oplopen.  Bovendien zullen zij vanaf dan, en wellicht al vroeger, steeds vaker van klanten en toeleverancier te horen krijgen dat zij moeten aantonen dat ze “GDPR compliant” zijn.  Een van de verplichtingen onder de nieuwe verordening is immers precies om enkel te werken met “veilige” bedrijven en om altijd en overal geschreven contracten met de nodige garanties te voorzien. Het is dus erg belangrijk om tijdig aan de slag te gaan.

Wat precies nodig is, hangt af van bedrijf tot bedrijf.  In grote lijnen komt het erop neer dat een privacy audit vereist is, waarbij in kaart gebracht wordt welke data gebruikt wordt binnen het bedrijf, waar die vandaan komt, wie er toegang toe heeft, welke onderaannemers (bvb online marketing bedrijf) die gegevens in handen krijgen, etc… om op die manier tot een inschatting van veiligheidsrisico’s te komen.  Op basis daarvan kan met aan de slag voor het doorvoeren van de nodige aanpassingen op drie niveaus: het voorzien van bijkomende technische beveiliging waar nodig, het aanpassen van processen binnen het bedrijf en het aanpassen van contracten met leveranciers, arbeidsovereenkomsten, arbeidsreglementen, “bring your own device policies” etc…

Voor heel wat bedrijven brengt dit aardig wat meer werk met zich mee dat ze initieel verwacht hadden.  Tijdig starten is dus de boodschap.  Een aantal gespecialiseerde advocatenkantoren of IT-consultants kunnen u zeker tijdig op weg helpen.

Vragen over GDPR compliance?

Neem gerust vrijblijvend contact op met ons op bart@siriuslegal.be of op 0486 901 931.  Ons team staat dit jaar en volgende jaar talloze bedrijven bij in hun GDPR compliancy traject.  we werken hiervoor samen met een team van ervaren IT-specialisten en data engineers, waardoor we u doorheen het ganse traject naar GDPR compliance kunnen bijstaan.