GDPR: EU-regelgevers zijn niet klaar voor nieuwe wet op de privacy

Later deze maand treedt in de EU een wet in werking die de data van consumenten wil beschermen. Het gaat om de zogenaamde General Data Protection Regulation (GDPR) of in het Nederlands:  algemene verordening gegevensbescherming (AVG).

Die verordening betreft ‘de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.’

GDPR wil er met andere woorden voor zorgen dat bedrijven de privacy-rechten van de individuele consument respecteren. Iets wat – zoals uit de recente schandalen rond Facebook is gebleken – vandaag vaak niet het geval is. Bedrijven die meer dan 50 voltijdse medewerkers in dienst hebben moeten daarenboven voortaan zelfs een ‘Verantwoordelijke voor de Gegevensbescherming’ aanstellen.

De verordening geldt wereldwijd voor alle ondernemingen en organisaties die persoonsgegevens van Europese staatsburgers bijhouden en verwerken, onafhankelijk of er al dan niet betaald wordt voor diensten of producten. 

De wet heeft dan ook grote gevolgen voor bedrijven als Google en Facebook, die enorme hoeveelheden gegevens over hun gebruikers verzamelen. Bedrijven die zich niet aan de regels houden mogen zich aan  boetes verwachten die kunnen oplopen tot 4% van hun zakencijfer.

Wat is de impact van GDPR?

De impact van de GDPR voor bedrijven die gegevens verzamelen – en wie doet dat vandaag niet – is niet te onderschatten.

Consumenten krijgen dankzij de GDPR verregaande rechten rond het gebruik van hun persoonlijke data. Ook worden de legale mogelijkheden om compensatie te eisen bij misbruik uitgebreid. De consument mag bij elk bedrijf inzage vragen in de eigen data en om verwijdering vragen. Voor bedrijven heeft dat een reeks gevolgen op vlak van het technische en organisatorische management van die data.

Maar de nieuwe regelgeving biedt ook kansen en voordelen. Zo geldt nu eindelijk een privacy standaard voor de ganse EU. Met andere woorden: wanneer u GDPR compliant bent in één land van de EU, bent u dat ook in alle andere Europese landen. Een niet te onderschatten verandering en voordeel tegenover de oude situatie, toen bedrijven die pan-Europees actief zijn moesten rekening houden met de vele verschillende wetgevingen die in Europa van kracht waren.

Wie gaat de bedrijven op GDPR controleren?

Daarbij rijst uiteraard de vraag wie gaat controleren of deze bedrijven de verordening naleven. Dat zal niet door één enkele instelling gebeuren, maar door een verzameling van nationale en regionale waakhonden doorheen het 28 landen tellende blok.

Opmerkelijk in dat verband is dat 17 van 24 door het persagentschap Reuters ondervraagde regelgevers toegeven dat ze vandaag niet over de financiële middelen beschikken, noch de wettelijke bevoegdheid hebben om deze GDPR-verplichtingen te doen naleven. Dat laatste is vooral een gevolg van het feit dat de lokale overheden hun wetten nog niet hebben aangepast aan de nieuwe regelgeving. Dat zou nog maanden kunnen duren, ook na 25 mei 2018, de datum dat de wet officieel van kracht wordt.

Meer