Heb je de deadline van de GDPR genegeerd?

De deadline van de GDPR (AVG) was op 25 mei 2018. Na vier jaar vergaderen heeft de Europese Unie de Algemene Verordening Gegevensbescherming (GDPR) in 2016 namelijk aangenomen. Deze verordening gaf bedrijven twee jaar de tijd om aan de regels te voldoen, wat meer dan genoeg tijd is. De realiteit is echter dat overheden, ondernemingen en zelfs regelgevers en de Privacy Autoriteiten zelf nog niet klaar zijn.

Meer dan de helft van de bedrijven geeft toe dat ze de deadline niet hebben gehaald.

Wat is GDPR?

De algemene verordening gegevensbescherming is een verzameling van regels. Deze regels omvatten vereisten zoals het informeren van toezichthouders over datalekken en transparantie voor gebruikers over welke gegevens men verzameld. Je moet ook zelfs verklaren waarom je de gegevens verzameld. Het is deze nieuwe wet op privacybescherming in de EU, die op 25 mei 2018 in werking trad.

Het doel van GDPR is dus om EU-burgers controle te geven over hun persoonlijke gegevens en de benadering van gegevensprivacy van organisaties over de hele wereld te veranderen.

De GDPR biedt veel sterkere regels dan de bestaande wetgeving en is veel restrictiever dan de “EU-cookiewetgeving”.

De wet stelt dat

• Gebruikers moeten bevestigen dat we hun gegevens kunnen verzamelen.
• Dat we een duidelijk privacybeleid moeten kunnen tonen dat aangeeft welke gegevens we opgeslaan.
• Hoe we de gegevens zullen gebruiken.
• Biedt gebruikers het recht hebben om de toestemming in te trekken, bijgevolg indien nodig de gegevens verwijderen.

De GDPR is van toepassing op gegevens die overal ter wereld over EU-burgers worden verzameld. Als zodanig moet elke website met EU-bezoekers of klanten voldoen aan de GDPR, wat betekent dat alle bedrijven die producten of diensten op de Europese markt willen verkopen hieraan moeten voldoen.

De GDPR in het kort

In het kort heeft de GDPR de volgende toepassing:

• Is van toepassing op persoonlijke gegevens die betrekking hebben op of kunnen worden gebruikt om iemand te identificeren (artikel 4).
• Is van toepassing op gevoelige persoonlijke gegevenszoals ras, etnische afkomst, seksuele geaardheid en gezondheidsstatus. (Overweging 51 , artikel 9).
• Vereist dat men toestemming geeft of dat er een goede reden is om persoonlijke informatie te verwerken of op te slaan.
• Een persoon kan vragen om zijn persoonlijke gegevens volledig te wissen (tenzij er een geldige reden is, zoals een banklening). Dit noemen we ook het recht om te worden vergeten (artikel 17).
• Geeft een persoon bovendien het recht om te weten welke informatie over hem of haar wordt opgeslagen.
• Privacy by design en standaard zorgen ervoor dat we persoonlijke informatie correct beschermen. Voor nieuwe systemen moet bescherming namelijk onderdeel van het ontwerp zijn. De toegang tot de gegevens controleren we strikt gecontroleerd en maken we alleen zichtbaar als dat nodig is (artikel 25).

Meer over data

• Als gegevens kwijt raken, worden gestolen of zonder toestemming worden verkregen, moeten de autoriteiten binnen 72 uur (artikel 33) op de hoogte worden gesteld. Net als de personen van wie de gegevens zijn gebruikt (artikel 34).
• Gegevens kunnen we alleen gebruiken voor de reden die is opgegeven op het moment van verzamelen en veilig verwijderd worden nadat ze niet langer nodig zijn.
• Recht op toegang en gegevensoverdracht: een persoon kan op ieder moment vragen om informatie op een downloadbaar formaat. Om de gegevens te kunnen gebruiken of over te dragen aan een andere dienst. (Artikel 20)
• Staat de nationale privacy autoriteiten toe boetes op te leggen aan bedrijven die de verordening overtreden.
• Tenslotte is er toestemming van de ouders vereist om de persoonsgegevens van kinderen onder de 16 jaar te verwerken voor online diensten; kan per lidstaat verschillen, maar het zal niet jonger zijn dan 13 jaar (artikel 8).

Wat zijn de gevolgen van het niet halen van de deadline?

Website eigenaars hebben tot 25 mei 2018 de tijd gehad om te voldoen aan de voorschriften van de GDPR. Er zijn flinke boetes voor niet-naleving. Als je niet-compliant bent, is de boete maximaal € 20 miljoen of, in het geval van een onderneming, tot 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, afhankelijk van welke hoger is. De hoge boetes zijn voorgesteld om de naleving te verbeteren.

Voor het toezicht op websites zijn daarom de volgende stappen gezet. Er zijn toezichthoudende privacy autoriteiten (PA) in de lidstaten opgericht. Afhankelijk van de constitutionele, bestuurlijke en organisatorische structuren kan iedere lidstaat meerdere PA’s hebben. Een PA heeft verschillende bevoegdheden:

• Audits uitvoeren op websites.
• Waarschuwingen geven voor niet-naleving.
• Corrigerende maatregelen uitvaardigen die met een deadline die moet worden opgevolgd.

Een PA heeft zowel onderzoeks- als corrigerende bevoegdheden om de naleving van de wet te controleren en wijzigingen voor te stellen om te kunnen voldoen.

Het is te vroeg om te speculeren hoe de PA’s van verschillende lidstaten met elkaar kunnen samenwerken. Eén aspect is echter duidelijk, PA’s krijgen aanzienlijke bevoegdheden om de GDPR-richtlijnen te handhaven.

Wat moet je doen als de PA je op het matje roept?

1. Ga naar je advocaat.
2. Vanaf WordPress versie 4.9.6 heb je veel functies om te beginnen met het voldoen aan GDPR. Het upgraden van WordPress is van de eerste stappen die je kunt nemen, na een gesprek met een advocaat.

Na de deadline

Als je de GDPR deadline niet hebt gehaald omdat je het hebt uitgesteld, moet je  juridisch advies zoeken. Iedere website uniek is en heeft toegespitst advies nodig. De GDPR is echter generiek en geldt voor iedereen.

Discussieer mee op LinkedIn.