De Europese Verordening Gegevensbescherming (GDPR) - FAQ Veelgestelde vragen over de Europese Privacywetgeving Wat is het verschil tussen de Europese Privacy Verordening, de algemene verordening gegevensbescherming (AVG) en de General Data Protection Regulation (GDPR)? Er is geen verschil. Het zijn drie verschillende benamingen voor dezelfde Europese privacywetgeving. Wij gebruiken in de FAQ’s de eerste benaming. Vanaf wanneer geldt de Europese Privacy Verordening? De Europese Privacy Verordening is vanaf 25 mei 2018 van toepassing. Uw organisatie heeft dus nog een jaar om zich goed voor te bereiden. Tot die tijd geldt in België nog steeds de Privacywet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Een jaar lijkt veel, maar u moet eigenlijk al de eerste stappen gezet hebben. Moet ik nu al starten met de voorbereiding voor de Europese Privacy Verordening? We raden aan om geen tijd te verliezen. 25 mei 2018 komt snel dichterbij. Binnen grote organisaties vergt het opstellen en uitvoeren van actieplannen vaak de nodige tijd. Wat gaat er veranderen ten opzichte van de huidige situatie? Als de Europese Privacy Verordening van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de verordening meer nadruk gelegd op de verantwoordelijkheid van organisaties om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability). Deze documentatieplicht houdt in dat uw organisatie moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de Europese privacywetgeving te voldoen. Wat zijn de belangrijkste wijzigingen per 25 mei 2018? Per 25 mei 2018, als de Europese Privacy Verordening van toepassing is, verandert onder meer het volgende voor uw organisatie: U kunt verplicht worden een Privacy Impact Assessment (PIA) uit te voeren. U kunt verplicht worden een Data Protection Officer (DPO) aan te stellen. Hoe kan ik starten met voldoen aan de Europese privacywetgeving? Om u te helpen bij uw keuzes en de stappen, hebben wij een brochure en een stappenplan opgesteld. Hierin vindt u alles over de Europese Privacy Verordening en vertellen wij concreet welke acties u best onderneemt. Hier vindt u beide documenten. Wanneer bent u verplicht een Privacy Impact Assessment (PIA) uit te voeren? Zodra de Europese Privacy Verordening van toepassing is, bent u verplicht om een Privacy Impact Assessment (PIA) uit te voeren als u: systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering; op grote schaal bijzondere persoonsgegevens verwerkt; op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). Hierdoor krijgt u inzicht in wat de risico’s zijn en kunt u passende maatregelen nemen om ze te beperken. Een PIA wordt ook wel data protection impact assessment (DPIA) genoemd. Tip: Niet alleen om de regelgeving te respecteren is het goed om een PIA uit te voeren. Het correct (laten) uitvoeren van een PIA kan veel inzicht bieden in de risico’s die u loopt en als basis dienen om een actieplan op te stellen. Daarnaast kunt u aantonen aan medewerkers, klanten en andere stakeholders dat u zich bewust bent van en op een juiste manier omgaat met cyberrisico’s. Welke extra rechten krijgen de personen van wie u de persoonsgegevens verwerkt (data subjects)? Door de Europese Privacy Verordening krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun (Europese) privacyrechten worden versterkt en uitgebreid. In deze Europese privacywetgeving staat hoe u geldige toestemming moet krijgen van mensen/data subjects om hun persoonsgegevens te verwerken. Daarnaast moet het voor die mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Naast versterking van de bestaande rechten krijgen mensen door de Europese Privacy Verordening een aantal aanvullende rechten. Naast het recht om een organisatie te vragen hun persoonsgegevens te verwijderen kunnen ze straks ook van de organisatie eisen dat zij de verwijdering doorgeven aan alle andere derde partijen die deze gegevens (onrechtstreeks) hebben ontvangen. Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van uw organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Er kan ook gevraagd worden om hun persoonsgegevens direct door te sturen aan de nieuwe dienstverlener. Deze extra mogelijkheden niet voorzien kan leiden tot schadeclaims ingesteld tegen de organisatie en boetes opgelegd door privacy regulators. Heeft de Europese Privacy Verordening ook voordelen voor mijn organisatie? Hoewel we de implicaties van de nieuwe regelgeving en de administratieve last niet moeten onderschatten, zitten er ook voordelen aan. Als de Europese Privacy Verordening van toepassing is, hoeft u zich nog maar aan één Europese wet te houden als u persoonsgegevens verwerkt. Indien u in meerdere EU-lidstaten actief bent, levert de Europese privacywetgeving u het volgende op: u heeft minder administratieve kosten en spendeert minder tijd aan verschillende wetgeving; u heeft meer rechtszekerheid; er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU; u hoeft nog maar met één toezichthouder rekening te houden (onestopshop). Wat gebeurt er met de meldplicht datalekken? Deze meldplicht vervalt niet. Zodra de Europese Privacy Verordening van toepassing is, moet u dus nog steeds datalekken melden bij de regulerende overheid (privacy commissie). Wanneer moet ik straks een data protection officer aanstellen? Zodra de Europese Privacy Verordening van toepassing is, bent u verplicht om een data protection officer aan te stellen als uw organisatie: een overheidsinstantie is (behalve rechtbanken bij het uitvoeren van hun rechtsprekende taak); op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is, zoals bij zorgverleners; op grote schaal mensen volgt (bijvoorbeeld bij profilering) en dit een kernactiviteit van de organisatie is, zoals banken en verzekeringsmaatschappijen. Tip: De Europese privacywetgeving is nieuw en bevat nog steeds onduidelijkheden. Maak daarom een goede afweging van de te nemen maatregelen en zet deze ook op papier. Wat zijn vrijwillige en gezamenlijke data protection officers? Valt uw organisatie niet in een van bovenvermelde categorieën (zie vorige vraag)? Dan mag u uiteraard ook vrijwillig een DPO aanstellen. Let op: voor een vrijwillige DPO gelden dezelfde regels als voor de verplichte DPO. De privacy commissie zal samen met de andere Europese privacytoezichthouders uitleg geven over de voorwaarden en taken van de DPO. U mag ook in groep een gezamenlijke DPO aanstellen(vb via een sectorfederatie). Voorwaarde is dat deze goed bereikbaar is voor alle leden en/of vanuit alle vestigingen. In de Europese Privacy Verordening wordt gesproken over een verplichting tot privacy by design en privacy by default. Wat betekent dit? De verplichting tot privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor moet zorgen dat persoonsgegevens worden beschermd. De verplichting tot privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door: een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is; op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken; als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is. Gaan de boetes omhoog? Per 25 mei 2018 kunnen de boetes oplopen tot: 10 miljoen of 2% wereldwijde omzet voor specifieke overtredingen; 20 miljoen of 4% wereldwijde omzet voor grootste geheel aan verplichtingen Er zijn behalve deze boetes ook aanvullende (financiële) gevolgen waarmee u rekening moet houden, te weten wanneer: de consument u aansprakelijk stelt voor geleden schade; de privacyregulator een onderzoek instelt in een ander land. Kan een cyberverzekering mij helpen tegen de gevolgen van een datalek? Uiteraard is voorkomen altijd beter dan genezen. Maar als er toch problemen opduiken, is extra bescherming in de vorm van een cyberverzekering mooi meegenomen. Deze biedt namelijk dekking voor: aansprakelijkheid: schadevergoeding en juridische bijstand in geval van aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie; crisismanagement: kosten (forensisch) onderzoek, PR, klant notificatiekosten, kredietbewaking, IT-diensten, cyberincident responsediensten; boetes: kosten voor onderzoek door een toezichthouder, juridische bijstand, bestuurlijke boetes; digitale media, Schadevergoeding en kosten van verweer in verband met aanspraken van derden tegen u die voortvloeien uit uw multimedia-activiteiten. Bijvoorbeeld smaad en laster of plagiaat; cyber- / privacyafpersing, waaronder ransomware; hacking telefooncentrale, vergoeding van de belkosten; gederfde netto winst in verband met netwerkonderbreking. Wie binnen mijn organisatie moet betrokken zijn op het Europese privacywetgeving-dossier? We zien bij veel bedrijven de opvolging gebeuren binnen ICT en/of Legal departementen. Dit is echter te beperkt. Onze ervaring leert dat bijvoorbeeld marketing- en HR-afdelingen heel anders naar cyberrisico’s en mogelijke datalekken kijken en daardoor ook andere risicobeperkende maatregelen instellen. Vaak zonder overleg met Legal en ICT. Zo kan het gebeuren dat werk wordt uitbesteed aan (bijvoorbeeld) een partij in India zonder dat andere diensten hiervan op de hoogte worden gesteld, en data van Belgische burgers terecht komen in India. Onze beste tip is om deze regelgeving en bijhorende risico’s op niveau van de raad van bestuur te managen, en awareness te creëren binnen de gehele organisatie. Zelfs product development is dankzij de privacy by design regelgeving genoodzaakt notie te hebben van de verplichtingen en mogelijke risico’s.
De Europese Verordening Gegevensbescherming (GDPR) - FAQ Veelgestelde vragen over de Europese Privacywetgeving
Wat is het verschil tussen de Europese Privacy Verordening, de algemene verordening gegevensbescherming (AVG) en de General Data Protection Regulation (GDPR)? Er is geen verschil. Het zijn drie verschillende benamingen voor dezelfde Europese privacywetgeving. Wij gebruiken in de FAQ’s de eerste benaming. Vanaf wanneer geldt de Europese Privacy Verordening? De Europese Privacy Verordening is vanaf 25 mei 2018 van toepassing. Uw organisatie heeft dus nog een jaar om zich goed voor te bereiden. Tot die tijd geldt in België nog steeds de Privacywet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Een jaar lijkt veel, maar u moet eigenlijk al de eerste stappen gezet hebben. Moet ik nu al starten met de voorbereiding voor de Europese Privacy Verordening? We raden aan om geen tijd te verliezen. 25 mei 2018 komt snel dichterbij. Binnen grote organisaties vergt het opstellen en uitvoeren van actieplannen vaak de nodige tijd. Wat gaat er veranderen ten opzichte van de huidige situatie? Als de Europese Privacy Verordening van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de verordening meer nadruk gelegd op de verantwoordelijkheid van organisaties om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability). Deze documentatieplicht houdt in dat uw organisatie moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de Europese privacywetgeving te voldoen. Wat zijn de belangrijkste wijzigingen per 25 mei 2018? Per 25 mei 2018, als de Europese Privacy Verordening van toepassing is, verandert onder meer het volgende voor uw organisatie: U kunt verplicht worden een Privacy Impact Assessment (PIA) uit te voeren. U kunt verplicht worden een Data Protection Officer (DPO) aan te stellen. Hoe kan ik starten met voldoen aan de Europese privacywetgeving? Om u te helpen bij uw keuzes en de stappen, hebben wij een brochure en een stappenplan opgesteld. Hierin vindt u alles over de Europese Privacy Verordening en vertellen wij concreet welke acties u best onderneemt. Hier vindt u beide documenten. Wanneer bent u verplicht een Privacy Impact Assessment (PIA) uit te voeren? Zodra de Europese Privacy Verordening van toepassing is, bent u verplicht om een Privacy Impact Assessment (PIA) uit te voeren als u: systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering; op grote schaal bijzondere persoonsgegevens verwerkt; op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). Hierdoor krijgt u inzicht in wat de risico’s zijn en kunt u passende maatregelen nemen om ze te beperken. Een PIA wordt ook wel data protection impact assessment (DPIA) genoemd. Tip: Niet alleen om de regelgeving te respecteren is het goed om een PIA uit te voeren. Het correct (laten) uitvoeren van een PIA kan veel inzicht bieden in de risico’s die u loopt en als basis dienen om een actieplan op te stellen. Daarnaast kunt u aantonen aan medewerkers, klanten en andere stakeholders dat u zich bewust bent van en op een juiste manier omgaat met cyberrisico’s. Welke extra rechten krijgen de personen van wie u de persoonsgegevens verwerkt (data subjects)? Door de Europese Privacy Verordening krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun (Europese) privacyrechten worden versterkt en uitgebreid. In deze Europese privacywetgeving staat hoe u geldige toestemming moet krijgen van mensen/data subjects om hun persoonsgegevens te verwerken. Daarnaast moet het voor die mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Naast versterking van de bestaande rechten krijgen mensen door de Europese Privacy Verordening een aantal aanvullende rechten. Naast het recht om een organisatie te vragen hun persoonsgegevens te verwijderen kunnen ze straks ook van de organisatie eisen dat zij de verwijdering doorgeven aan alle andere derde partijen die deze gegevens (onrechtstreeks) hebben ontvangen. Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van uw organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Er kan ook gevraagd worden om hun persoonsgegevens direct door te sturen aan de nieuwe dienstverlener. Deze extra mogelijkheden niet voorzien kan leiden tot schadeclaims ingesteld tegen de organisatie en boetes opgelegd door privacy regulators. Heeft de Europese Privacy Verordening ook voordelen voor mijn organisatie? Hoewel we de implicaties van de nieuwe regelgeving en de administratieve last niet moeten onderschatten, zitten er ook voordelen aan. Als de Europese Privacy Verordening van toepassing is, hoeft u zich nog maar aan één Europese wet te houden als u persoonsgegevens verwerkt. Indien u in meerdere EU-lidstaten actief bent, levert de Europese privacywetgeving u het volgende op: u heeft minder administratieve kosten en spendeert minder tijd aan verschillende wetgeving; u heeft meer rechtszekerheid; er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU; u hoeft nog maar met één toezichthouder rekening te houden (onestopshop). Wat gebeurt er met de meldplicht datalekken? Deze meldplicht vervalt niet. Zodra de Europese Privacy Verordening van toepassing is, moet u dus nog steeds datalekken melden bij de regulerende overheid (privacy commissie). Wanneer moet ik straks een data protection officer aanstellen? Zodra de Europese Privacy Verordening van toepassing is, bent u verplicht om een data protection officer aan te stellen als uw organisatie: een overheidsinstantie is (behalve rechtbanken bij het uitvoeren van hun rechtsprekende taak); op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is, zoals bij zorgverleners; op grote schaal mensen volgt (bijvoorbeeld bij profilering) en dit een kernactiviteit van de organisatie is, zoals banken en verzekeringsmaatschappijen. Tip: De Europese privacywetgeving is nieuw en bevat nog steeds onduidelijkheden. Maak daarom een goede afweging van de te nemen maatregelen en zet deze ook op papier. Wat zijn vrijwillige en gezamenlijke data protection officers? Valt uw organisatie niet in een van bovenvermelde categorieën (zie vorige vraag)? Dan mag u uiteraard ook vrijwillig een DPO aanstellen. Let op: voor een vrijwillige DPO gelden dezelfde regels als voor de verplichte DPO. De privacy commissie zal samen met de andere Europese privacytoezichthouders uitleg geven over de voorwaarden en taken van de DPO. U mag ook in groep een gezamenlijke DPO aanstellen(vb via een sectorfederatie). Voorwaarde is dat deze goed bereikbaar is voor alle leden en/of vanuit alle vestigingen. In de Europese Privacy Verordening wordt gesproken over een verplichting tot privacy by design en privacy by default. Wat betekent dit? De verplichting tot privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor moet zorgen dat persoonsgegevens worden beschermd. De verplichting tot privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door: een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is; op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken; als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is. Gaan de boetes omhoog? Per 25 mei 2018 kunnen de boetes oplopen tot: 10 miljoen of 2% wereldwijde omzet voor specifieke overtredingen; 20 miljoen of 4% wereldwijde omzet voor grootste geheel aan verplichtingen Er zijn behalve deze boetes ook aanvullende (financiële) gevolgen waarmee u rekening moet houden, te weten wanneer: de consument u aansprakelijk stelt voor geleden schade; de privacyregulator een onderzoek instelt in een ander land. Kan een cyberverzekering mij helpen tegen de gevolgen van een datalek? Uiteraard is voorkomen altijd beter dan genezen. Maar als er toch problemen opduiken, is extra bescherming in de vorm van een cyberverzekering mooi meegenomen. Deze biedt namelijk dekking voor: aansprakelijkheid: schadevergoeding en juridische bijstand in geval van aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie; crisismanagement: kosten (forensisch) onderzoek, PR, klant notificatiekosten, kredietbewaking, IT-diensten, cyberincident responsediensten; boetes: kosten voor onderzoek door een toezichthouder, juridische bijstand, bestuurlijke boetes; digitale media, Schadevergoeding en kosten van verweer in verband met aanspraken van derden tegen u die voortvloeien uit uw multimedia-activiteiten. Bijvoorbeeld smaad en laster of plagiaat; cyber- / privacyafpersing, waaronder ransomware; hacking telefooncentrale, vergoeding van de belkosten; gederfde netto winst in verband met netwerkonderbreking. Wie binnen mijn organisatie moet betrokken zijn op het Europese privacywetgeving-dossier? We zien bij veel bedrijven de opvolging gebeuren binnen ICT en/of Legal departementen. Dit is echter te beperkt. Onze ervaring leert dat bijvoorbeeld marketing- en HR-afdelingen heel anders naar cyberrisico’s en mogelijke datalekken kijken en daardoor ook andere risicobeperkende maatregelen instellen. Vaak zonder overleg met Legal en ICT. Zo kan het gebeuren dat werk wordt uitbesteed aan (bijvoorbeeld) een partij in India zonder dat andere diensten hiervan op de hoogte worden gesteld, en data van Belgische burgers terecht komen in India. Onze beste tip is om deze regelgeving en bijhorende risico’s op niveau van de raad van bestuur te managen, en awareness te creëren binnen de gehele organisatie. Zelfs product development is dankzij de privacy by design regelgeving genoodzaakt notie te hebben van de verplichtingen en mogelijke risico’s.
De Europese Verordening Gegevensbescherming Overzicht Europese Verordening Gegevensbescherming FAQ Europese Verordening Gegevensbescherming (GDPR)