EU keurt nieuwe privacyverordening goed

Dshutterstock_112074470(1)e Europese Commissie heeft gisteren, uiteindelijk nog vroeger dan verwacht, aangekondigd dat er een akkoord bereikt is over de definitieve tekst van de nieuwe privacyverordening, waaraan intussen al 4 jaar gewerkt wordt. 

De finale tekst van de verordening zelf is nog niet gepubliceerd, maar op basis van de ontwerpteksten en het perscommuniqué van de Europese Commissie kunnen we u hieronder wel al een eerste samenvatting van de nieuwe regels meegeven.  Voor een uitgebreidere detailanalyse en een inschatting van de impact op uw bedrijf kan u de volgende dagen op deze pagina’s terecht.

Even het geheugen opfrissen: wat is die Privacyverordening ook alweer precies?

Bedrijven verzamelen uw en mijn persoonsgegevens.  Ze doen dat als we (online) aankopen doen, als we ons inschrijven voor een nieuwsbrief of deelnemen aan een wedstrijd, als we een reis boeken of een account aanmaken op een website.  In sommige gevallen verzamelen bedrijven ook persoonsgegevens zonder dat we het zelf beseffen, bijvoorbeeld als er een cookie op onze computer geplaatst wordt waarmee kan gemonitord worden welke websites we bezoeken of op welke reclamebanners we klikken.

Op Europees niveau bestaat er al sinds 1995 een Richtlijn die door alle lidstaten is omgezet in nationaal recht en die bepaalt hoe en wanneer bedrijven persoonsgegevens mogen verzamelen, verwerken en doorgeven aan derden.

Sinds 1995 echter is de wereld waarin we leven aanzienlijk veranderd.  De digitale revolutie, de opkomst van het internet destijds en de voorbije jaren ook de evolutie naar cloud computing en big data, hebben ervoor gezorgd dat de regels die de EU in 1995 uitgezet heeft vandaag niet meer aangepast zijn aan de economische en technologische werkelijkheid.

Precies om die reden is Europa enkele jaren geleden in het kader van haar “Digital Single Market” agenda begonnen met het aanpassen van de regels die uw en mijn privacy moeten beschermen wanneer bedrijven en overheden onze gegevens verzamelen voor commerciële doeleinden.  De ontstaansgeschiedenis op Europees niveau heeft een hobbelig parcours afgelegd, met heel wat discussie tussen de verschillende instellingen en bijzonder hevig lobbywerk van alle betrokken partijen, zowel vanuit de internetsector als vanuit consumentenorganisaties, maar vandaag ligt dus uiteindelijk een tekst voor die op het eerste zicht een aanvaardbaar evenwicht vindt tussen enerzijds het recht op privacy van de burger en anderzijds de noodzaak voor de marketing en internetwereld om op efficiënte wijze met hun databases te kunnen omgaan.

Věra Jourová, EU commissaris vooor Justitie, Consumenten en Gelijkheid van Kansen verwoordde een en ander gisteren als volgt: Today we deliver on the promise of the Juncker Commission to finalize data protection reform in 2015. These new pan-European rules are good for citizens and good for businesses. Citizens and businesses will profit from clear rules that are fit for the digital age, that give strong protection and at the same time create opportunities and encourage innovation in a European Digital Single Market. And harmonised data protection rules for police and criminal justice authorities will ease law enforcement cooperation between Member States based on mutual trust, contributing to the European Agenda for Security.”

Wat staat er nu precies in die nieuwe Verordening?

De definitieve tekst waarover gisteren een akkoord bereikt werd, laat nog even op zich wachten.  We spreken op dit ogenblik onze contacten aan om er kopie van te bekomen en op basis van die definitieve versie zullen we u de volgende dagen en weken inhoudelijk kunnen berichten over alle details en over de impact daarvan voor uw bedrijf.

In afwachting weten we in elk geval wel dat er gezocht is naar een evenwicht tussen de belangen van de burger en van de bedrijven, waarbij beide “kampen” in de eindtekst ongetwijfeld positieve en negatieve punten zullen terugvinden.

Burgerrechten

De nieuwe regels zijn erop gericht om burgers opnieuw controle te geven over hun persoonsgegevens, in het bijzonder wanneer ze die online moeten delen.  Onderzoek van de Europese Commissie toont aan dat internetgebruikers vandaag grote vragen hebben bij de wijze waarop met hun persoonsgegevens omgegaan wordt online.

De nieuwe verordening meot hieraan verhelpen door burgers meer controle te geven.  een en ander zou moeten gerealiseerd worden door deze nieuwigheden:

  • Eenvoudiger toegang tot je eigen persoonsgegevens: De nieuwe verordening zal ervoor zorgen dat burgers beter geïnformeerd moeten worden door bedrijven en makkelijker toegang krijgen tot de gegevens die over hen worden bewaard.
  • Een zogenaamd recht op “data portability”: Het zal in de praktijk makkelijker worden om je persoonsgegevens “mee te nemen” als je overstapt van de ene naar de andere online service provider.  Hoe een en ander in de praktijk gerealiseerd zal worden, blijft evenwel nog wat onduidelijk op heden.
  • Een definitieve bevestiging van het right to be forgotten: Europese rechtspraak zorgde er al voor dat je in bepaalde gevallen kan eisen dat jouw gegevens worden gewist, online of in de database van een bedrijf.  Dit recht wordt nu ingeschreven in de nieuwe verordening: als een bedrijf geen goede redenen meer heeft om je gegevens bij te houden, kan je eisen dat die verwijderd worden.
  • Het recht om verwittigd te worden als een database met jouw gegevens erin wordt gehackt:  Dit is een commerciële nachtmerrie voor ondernemers;  aks hun database gehackt wordt, zullen ze vanaf nu verplicht zijn om al hun klanten een voor een te contacteren om hen te melden dat hun gegevens in handen van hackers zijn gekomen.  Er bestaat daarnaast ook een meldingsplicht aan de overheid.  Het is duidelijk dat de imagoschade voor een bedrijf dat met hangende pootjes moet melden dat de gegevens van zijn klanten gehackt werden enorm is.  Een en ander zou een incentive moeten vormen voor bedrijven om extra data security in te bouwen.

Betere behartiging van commerciële belangen

De waarde van data in onze economie vandaag kan nauwelijks overschat worden.  Het volstaat om te kijken naar de ganse big data bubble die nu al twee jaar groeit om in te zien dat de economische meerwaarde voor heel wat bedrijven niet meer enkel in hun producten of diensten zit, maar ook in de gegevens die ze hebben kunnen verzamelen over hun klanten en prospects.  Als Europa competitief en concurrentieel wil blijven, is er bijgevolg nood aan regels die bedrijven toelaat om, binnen de grenzen van de belangen van de burger natuurlijk,  vlot en innovatief met data om te gaan.

Om die reden voorziet de nieuwe verordening onder meer in:

  • Een ééngemaakte “wet” voor gans Europa: De oude Richtlijn, die door alle lidstaten individueel en met onderlinge verschillen was omgezet in nationaal recht, wordt vervangen dooor een Verordening, een Europese “Wet” dus, die in alle lidstaten op dezelfde manier toegepaste zal worden.
  • Een “One-stop-shop” systeem voor aangiftes: Bedrijven moeten nog maar rekening houden met één privacyoverheid, met name die van hun thuisland.  De geschatte besparing hiervan voor bedrijven ligt op 2,3 miljard euro per jaar.
  • Gelijke plichten voor alle bedrijven die in Europa actief zijn: Niet- Europese bedrijven die hun diensten (online) aanbieden in Europa, ontsnappen nu vaak aan de Europese privacywetgeving omdat ze geen maatschappelijke zetel in Europa hebben of omdat hun servers niet in de EU staan.  In de toekomst zullen ook zij het Europees privacyrecht moeten naleven.  een en ander moet de concurrentiepositie van Europese bedrijven beschermen én de burger meer veiligheid bieden.
  • Geen verplichte registratie van databases meer
  • Mogelijkheid om kosten voor inzage of verbetering door burgers aan te rekenen

Bedrijven krijgen anderzijds ook meer plichten:

  • Data Protection Officers: Grote bedrijven zullen een “data protection officer” moeten aanstellen.  Die DPO zal binnen het bedrijf moeten instaan voor de correcte toepassing van de privacywetgeving.  KMO’s zullen vrijgesteld worden hiervan, tenzij hun core business dataverwerking is..
  • Risicoanalyse: Grote bedrijven zullen een risicoanalyse moeten maken, waarin gekeken wordt welke data verwerkt wordt, hoe die verwerkt wordt, waar risico’s op verlies of diefstal bestaan en hoe die verholpen kunnen worden.  Ook hier werd in laatste instantie beslist om dit niet verplicht te maken voor KMO’s (behalve voor bedrijven met een verhoogd risico).

Hoge boetes voor overtreders

Tot nu toe konden privacyoverheden niet echt hoge boetes opleggen. De Belgische privacycommissie kan op heden zelfs helemaal geen boetes opleggen.  Daardoor voelden bedrijven geen noodzaak om zich aan de regels te houden. Met de nieuwe regels kunnen alle nationale privacywaakhonden boetes opleggen tot maar liefst 4% van de jaaromzet van een bedrijf. Zulke hoge boetes kunnen nefast zijn voor de cash flow van bedrijven en als de hoogste boetes opgelegd worden aan een bedrijf, loopt dit o.i. ook meteen gevaar voor zijn eigen voortbestaan. Het gevolg zou kunnen of moeten zijn dat bedrijven veel voorzichtiger worden en  er alles aan doen om weg te blijven uit grijze zones die mogelijks tot boetes kunnen leiden.

Nog even tijd…

De nieuwe verordening wordt binnenkort gepubliceerd.  De regels gaan daarna pas in werking vanaf januari 2018.

Bedrijven hebben dus nog even tijd om zich aan te passen.  Privacy policies, contracten met softwareleveranciers en online marketing providers, contracten met personeel en arbeidsreglementen, contracten met klanten, NDA’s, … zullen mogelijks aangepast moeten worden.  Interne bedrijfsorganisaties zullen bijgestuurd moeten worden en wie onder de DPO-verplichtingen valt zal tijdig een DPO moeten inschakelen en een risicoanalyse voorzien.

Wie daar wel tijdig mee wil beginnen kan zich best goed informeren de volgende maanden.  Sirius Legal organiseert  in het voorjaar één of meer seminaries rond de nieuwe verordening en onze advocaten zullen op talloze events als spreker de nieuwe regels komen toelichten.  Hou zeker onze website of onze Facebookpagina in de gaten voor precieze data en locaties.

Vragen over privacy?

Voor al uw vragen over privacy, kan u vanzelfsprekend terecht bij ons team.  U contacteert best de auteur van dit artikel Bart Van den Brande of onze andere specialisten Andries Hofkens en Bart Van Besien.