David Bintein, 1 december 2016

Nieuwe privacy-wetgeving: de deadline nadert!

GDPR

Privacy-wetgeving, en vooral de naleving ervan, is vandaag meer dan ooit cruciaal – zeker nu verschillende media ons om de oren slaan met berichten over Wikileaks-schandalen, Panama Papers, Chinese hackings, noem maar op. Om de data van consumenten en bedrijven zo goed mogelijk te beschermen, laat Europa in 2018 de GDPR van kracht gaan: de General Data Protection Regulation. Een mond vol voor wat een forse verbetering moet worden van de bestaande EU Data Protection Directive uit 1995. Maar wat houdt die nieuwe regulering precies in? Welke gevolgen heeft ze voor bedrijven en particulieren? En hoe komt het dat niet alle 28 landen op dezelfde lijn zitten?

What to expect?

Sinds de DPD uit 1995 is er veel veranderd, waarbij uiteraard vooral de digitalisering in het oog springt. De aanpassing ervan was dan ook gewoon nodig. Maar wat moeten we onthouden? Eerst en vooral is het duidelijk dat de GDPR wetgeving met tanden is: waar bedrijven vroeger ongestraft konden wegkomen met datamisbruik of -inbreuken, riskeert men nu, afhankelijk van het type inbreuk, boetes van 2 tot 4 procent van de omzet, dan wel 10 tot 20 miljoen euro – afhankelijk van wat het hoogste bedrag blijkt.

Een andere belangrijke verandering voor bedrijven is dat ze niet méér klanten- of andere data mogen bijhouden dan ze strikt gezien nodig hebben, en ook niet langer. Bovendien moeten ondernemingen in staat zijn om, bij een data-inbreuk (data breach), binnen de 72 uur de betrokken partijen te verwittigen. En ten slotte moeten ze hun data bescherming in verhouding tot de waarde van die data.

Al deze maatregelen moeten bedrijven overigens afdoende kunnen bewijzen aan de overheid.

Grenzeloze toepassing?

Als die overheden er tenminste zelf uit geraken. Uit de implementatiefase waarin we ons momenteel bevinden, wordt namelijk duidelijk dat heel veel landen nog niet klaar zijn voor GDPR. Meer nog: verschillende overheden staan lijnrecht zelfs tegenover elkaar in de toepassing ervan – de ene willen méér privacybescherming, de andere net minder; de ene gaat voor een ondersteunend beleid (zoals België), de andere voor een eerder repressieve aanpak. Maar dat er veel op het spel staat, is duidelijk: wat bijvoorbeeld met die gigantische berg data die dagelijks uit sociale media wordt geoogst? Of met de talloze gegevens die aanwezig zijn (en blijven) in de cloud? De GDPR moet Europa klaarstomen voor het digitale tijdperk, maar het is duidelijk dat de neuzen niet in dezelfde richting wijzen. Wat nog maar eens wijst op de gevoeligheden die met privacy(wetgeving) gepaard gaan.