Wat betekent de Algemene Verordening Gegevensbescherming voor uw onderneming?
De nieuwe Algemene Verordening Gegevensbescherming (AVG) - beter gekend als “GDPR” of “General Data Protection Regulation” - wordt van toepassing op 25 mei 2018. Deze verordening heeft als doel om de controle over persoonsdata zo veel mogelijk terug te geven aan het individu.
De AVG / GDPR - een game changer
De AVG/ GDPR kan gerust beschouwd worden als een “game changer” omwille van o.a. de volgende redenen:
- De GDPR is van toepassing op alle ondernemingen die in de Europese Economische Ruimte (EER) gevestigd zijn en op alle niet-EER ondernemingen die goederen en diensten aanbieden in de Europese Economische Ruimte. Gegeven dat bijvoorbeeld ook contactgegevens van klanten en leveranciers als persoonsdata beschouwd worden, betekent dat (bijna) alle bedrijven met activiteiten in de Europese Unie de GDPR moeten naleven;
- De nieuwe wetgeving keert de bewijslast om. Het is aan u als onderneming om aan te tonen aan de nationale databeschermingsautoriteiten (e.g. Privacy Commissie in België) - beter gekend als “Data Protection Authority” of “DPA” - dat u als onderneming de GDPR regelgeving naleeft;
- De AVG/ GDPR wordt afdwingbaar omdat:
- de nieuwe wetgeving voorziet in een auditrecht voor de nationale DPA;
- er een verantwoordingsplicht geldt voor ondernemingen t.o.v. de DPA;
- er boetes opgelegd kunnen worden die – afhankelijk van het type inbreuk – “worst case” kunnen oplopen tot 2% van de geconsolideerde omzet (of 10 Miljoen EUR) of 4% van de geconsolideerde omzet (of 20 miljoen EUR).
Hoe heet de geserveerde soep uiteindelijk gegeten zal worden, zal in grote mate afhangen van de middelen en het mandaat dat de nationale databeschermingsautoriteiten zullen krijgen.
Praktijkgerichte AVG/ GDPR strategie
Praktijkgerichtheid is voor clipeum alvast hét sleutelwoord bij de opzet van een AVG/ GDPR strategie voor uw onderneming. Een duidelijke strategie is onmisbaar aangezien de Privacy Commissie elke onderneming die valt onder deze wetgeving, o.a. aanbeveelt om een intern register van verwerkingsactiviteiten op te maken én bij te houden[1].
De effectieve impact op uw onderneming is afhankelijk van de aard en de omvang van uw bedrijfsactiviteiten. Zo is de impact voor B2B bedrijven vaak minder groot dan voor B2C bedrijven. Echter, onafhankelijk van welke type onderneming u bent, zult u tegen 25 mei 2018 de nodige acties moeten ondernemen.
Hoewel deze wetgeving binnen een klein jaar al in werking treedt, toont een recente studie van verzekeringsmakelaar Vanbreda[2] ons echter dat 76% van de Belgische ondernemingen nog niet actief bezig zijn om zich in orde te stellen met de nieuwe Europese databeschermingsregels. Sommige ondernemingen nemen een afwachtende houding aan, anderen zijn nog niet vertrouwd met de inhoud en/of impact van deze nieuwe Europese databeschermingswet.
clipeum als gids
Daarom zal clipeum u en uw organisatie gedurende de volgende weken wegwijs maken in wat de specifieke impact van de AVG/ GDPR kan zijn op uw organisatie en haar bedrijfsactiviteiten.
Maar… voordat we dieper ingaan op de praktische gevolgen van de AVG/GDPR, is het belangrijk om eerst een goede kennis en een juist begrip te krijgen van de belangrijkste begrippen binnen de AVG/ GDPR. Daar kan dit artikel op onze blog, met nuttige verduidelijkingen van de belangrijkste begrippen bevat, u zeker bij helpen.
Indien u bijkomende vragen heeft over dit artikel of indien u andere AVG/ GDPR gerelateerde vragen heeft, kan u ons altijd contacteren via frederik.vervoort@clipeum.be of +32 473 91 05 80.
Frederik Vervoort (Gecertificeerd Data Protection Officer) - 6 juli 2017