Een nieuw jaar, en een nieuw onderwerp voor onze dJtalks bijdragen! Een seriële blogreeks waarbij we je telkens wat meer vertellen over die beruchte GDPR. Want zeg nu zelf: welk deel van ons dagelijks leven wordt niet op de één of andere manier beïnvloed door deze privacy regelgeving? En tegelijk: reikt onze kennis iets verder dan een vaag besef over “toestemming” en “recht op verwijdering”? Iets om in het oog te houden dus. We bouwen rustig op.
Hoe het allemaal begon
Sinds 25 mei 2018 is de General Data Protection Regulation (GDPR) van toepassing in alle lidstaten van de Europese Unie. Voor de goede orde: in het Nederlands is dit de Algemene Verordening Gegevensbescherming (AVG), maar in deze blogreeks zullen we steeds het Engelse acroniem GDPR gebruiken.
Voor de totstandkoming van de GDPR bestond er wel al een rechtskader rond gegevensbescherming, maar die regels lagen te verspreid en verschilden van lidstaat tot lidstaat. Met de GDPR moeten nu dezelfde regels worden nageleefd door iedereen binnen de EU die aan persoonsgegevensverwerking doet.
De GDPR heeft daarmee heel wat in beweging gezet. Opeens heerste onder de bedrijven een groot besef dat ze er zo snel mogelijk alles aan moesten doen om in orde te zijn met al die nieuwe verplichtingen en regels die de GDPR vaststelt. Daar hadden ze natuurlijk een goede reden voor. Boven hun hoofd hangen immers administratieve geldboetes die kunnen oplopen tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet.
We zoeken nog steeds de juiste weg
De eerste golf van inspanningen was echter eerder formalistisch te noemen. Mede door onduidelijkheden in de interpretatie, en versterkt door opportunisme binnen en buiten de onderneming, werden massaal beleidsdocumenten, registers en formulieren bij elkaar geharkt. Dit was echter buiten de toezichthouders gerekend, die vaak op een activistische wijze, aangespoord door een luide privacy-lobby, de papieren muur begonnen te slopen en ons allemaal een privacy-geweten hebben geschopt.
Alhoewel de inwerkingtreding van de GDPR inmiddels ruim 2,5 jaar achter ons ligt, is er dus duidelijk sprake van een tweede golf, waarbij we allemaal voor de uitdaging komen te staan om de privacy verwachtingen van individuen ook werkelijk ter harte te nemen, al dan niet aangespoord door actiegroepen en harde veroordelingen door de toezichthouders.
Wat mag je verwachten
Maar hoe doe je dat, de basisbeginselen van de GDPR correct toepassen? Hoe omarm je respect voor privacy in je dagelijks handelen?
Deze basisbeginselen zijn zeker nog onvoldoende vertrouwd domein. Om te voorkomen dat we ons in drijfzand begeven, is het dan ook belangrijk om eerst de kernbegrippen en belangrijkste principes uit de doeken te doen. Wanneer spreken we over een verantwoordelijke van een verwerking, en wat is een verwerker? En wat zijn persoonsgegevens, en gevoelige gegevens? Het zijn kernbegrippen die heel bepalend zijn voor wat we al dan niet mogen en kunnen doen. Principes zoals het vooraf bepalen van de privacy impact, en het correct omgaan met de rechten van het data-subject: dit omvat véél meer dan wat papieren documentatie!
Nadat we krijtlijnen hebben getekend, zullen we in het 2de deel van de blogreeks deze gaan inkleuren aan de hand van praktijkgerichte voorbeelden: hoe gaan we om met een datalek? En is direct marketing eigenlijk nog mogelijk? Laat staan dat we daarvoor data buiten Europa zouden moeten sturen, want dat is toch wel problematisch, niet? Maar kunnen we dan nog met cookies werken op onze website, of zijn deze sowieso noodzakelijk?
Ga je met ons mee?
Met deze blogreeks willen deJuristen je organisatie adviseren en op weg helpen om de aard van de persoonsgegevens die je verwerkt beter te begrijpen. Dit kan je dan toepassen bij het navigeren door de wettelijke en regelgevende complexiteit van de GDPR.
Heb je meer op maat gemaakte praktische oplossingen nodig, dan kan je ons altijd bereiken via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, en Kris Seyen, Partner deJuristen
