GDPR - deel 2: het verschil

Het verschil tussen de GDPR en de Privacy Wet.
GDPR_2

We stelden in deel 1 de vraag: "Hadden we niet reeds zoiets?"

Inderdaad hebben we, of beter hadden we, de Privacy wet van 1992.

Hoewel ze beiden betrekking hebben op het verwerken van persoonsgegevens,
bestaan er wel grote verschillen tussen de oude Privacy wet en de nieuwe Algemene Verordening of GDPR.

De 7 belangrijkste verschillen zijn:

1. Het toepassingsgebied van de nieuwe regelgeving is veel ruimer.


De GDPR geldt binnen de hele Europese Unie (EU).
Verder is ze ook van toepassing op niet Europese bedrijven indien zij producten of diensten aanbieden binnen de EU.
Dezelfde tekst (inclusief de vertalingen in de 24 talen van de EU) is de enige geldige regelgeving voor de hele EU.
Er is (bijna) geen marge voor de lidstaten om af te wijken van de basis tekst.

Hoewel de Privacy wet gebaseerd is op de Europese Richtlijn van 1995 is ze beperkter en geldt ze enkel in België.


2. Hogere sancties.


De Privacy Commissie die toezicht houdt op de naleving van de Privacy Wet is weinig meer dan een papieren tijger.
Onder de nieuwe Algemene verordening krijgt de commissie tanden.
Zij kan administratieve boetes opleggen tot € 20.000.000,00 of 4% van de (wereldwijde) jaaromzet.
Tevens beschikt ze na 25 mei 2018 over meer middelen om te onderzoeken en te corrigeren.
Betrokkenen kunnen van 25 mei 2018 gemakkelijker klacht indienen tegen de verwerker van hun gegevens.
Dit kan ondermeer via een vorm van "class-action".


3. Gegevenslekken


Vandaag bestaat er enkel een verplichting voor telecomoperatoren om gegevenslekken te melden aan de Privacy Commissie.
Met de nieuwe GDPR verandert dit ingrijpend. Elk gegevenslek moet binnen de 72 uren gemeld worden en in sommige gevallen dient ook de betrokkene ingelicht worden.


4. De leveranciers en verwerkers van data komen ook in het vizier


Waar de Privacy wet enkel verplichtingen oplegt aan verwerkingsverantwoordelijken, kijkt ze nu ook naar de bedrijven die persoonsdata verzamelen en verwerken.
Het gebeurt frequent dat een bedrijf voor een mailingactie of bv. louter kerstwensen de verzending hiervan uitbesteedt aan een marketing- of communicatiebureau.
Zij gebruiken hiervoor de door het eerste bedrijf geleverde contactgegevens of verwerken een eigen adressenbestand.
Zij zullen zich onder de GDPR eveneens moeten schikken naar de regels ervan.


5. Het aanstellen van een DPO


Samen met de GDPR ontstaat een nieuwe functie: de Data Protection Officer (DPO) of in onhandig Nederlands: de ambtenaar gegevensbescherming.
Dit is de persoon die verantwoordelijk is voor de naleving van de GDPR regels binnen een bedrijf.
Gelukkig is deze functie niet voor alle bedrijven verplicht. We komen hier later nog op terug.


6. Verantwoording


Het sleutelwoord van de GDPR is "verantwoording' (accountability).
De GDPR eist van de bedrijven dat ze het gevoerde privacybeleid kunnen verantwoorden.
Ze moeten kunnen verklaren en verantwoorden waarom zij bepaalde persoonsgegevens verzamelen en verwerken.
Ze moeten kunnen aantonen dat ze steeds de privacy van het individu voor ogen hebben en de impact op diens privacy tot een minimum beperken.


7. Transparantie


De GDPR benadrukt dat het privacybeleid van een onderneming transparant moet zijn.
Bedrijven moeten duidelijk communiceren over de manier waarop ze persoonsgegevens verwerken.
Elke onderneming moet de persoon waarover het data verzamelt uitvoerig informeren over zijn rechten.
Zo heeft elke betrokkenen het recht om de gegevens die over hem of haar worden bijgehouden in te kijken.
Hij kan foute gegevens laten corrigeren, vragen om de informatie te beperken of te beëindigen en hij heeft het recht om vergeten te worden.



GDPR - deel 4: eindelijk iets praktisch
GDPR - deel 3: de basisprincipes
GDPR - deel 2: het verschil
GDPR - deel 1: inleiding
AVG, GDPR, Privacy?