Artikel
Geschreven door Matthias Marck
Posted on 25/02/2016

Forse stijging privacydossiers moet bedrijven wakker schudden

135 keer gelezen

De Privacycommissie ontving het afgelopen jaar 4.195 vragen en klachten. Dat is een stijging van 46 procent ten opzichte van 2011. Een opvallende trend, zeker nu diezelfde commissie binnenkort de slagkracht krijgt om overtreders te bestraffen. Bedrijven die gegevens verwerken, moeten dringend werk maken van een doordacht privacybeleid om boetes en imagoschade te vermijden.

De Privacycommissie moet zijn jaarverslag van 2015 nog afsluiten, maar uit de voorlopige cijfers die Graydon kon inkijken, blijkt een forse stijging van het aantal kerndossiers. Klokte de commissie in 2014 nog af op 3.826 dossiers, steeg dat aantal het afgelopen jaar met bijna 10 procent tot 4.195. Dat is meer dan 11 per dag. De afgelopen vijf jaar nam het aantal vragen en klachten zelfs met bijna de helft toe.

Deze cijfers weerspiegelen een belangrijke trend. De bewustwording en assertiviteit van datasubjecten, particulieren en organisaties wiens data verwerkt wordt, groeit met de dag. Mensen uit alle lagen van de samenleving stellen zich meer vragen rond privacy en zetten stappen om de bestaande wetgeving aan te wenden in hun voordeel.

Deze evolutie heeft een rechtstreeks effect op bedrijven. Want vandaag komt haast elk bedrijf met privacy in aanraking, aangezien het altijd wel op de een of andere manier persoonsgegevens verzamelt. Denk maar aan klantenlijsten, telefoonnummers en adressen van klanten, online gegevens van klanten, alle mogelijke gegevens op klantenkaarten, ...

Europa bewapent Privacycommissie

Ondertussen speelt op Europees niveau nog een belangrijke evolutie die blijvende impact zal hebben op de manier waarop bedrijven met privacy omgaan. Na vier jaar onderhandelen, bereikten de onderhandelaars eind vorig jaar een akkoord over de nieuwe Europese privacyregeling. De formele goedkeuring van het Europees Parlement en de Raad wordt ieder moment verwacht.

De zogenaamde Data Protection Regulation heeft een dubbele doelstelling: een einde maken aan de fragmentatie van privacywetten in Europa en de huidige regels beter afdwingbaar maken.

Wat verandert er concreet? Bedrijven die gegevens verwerken, zullen dit niet langer verplicht moeten melden aan de Privacycommissie. Dit als doelstelling om de administratieve last te verminderen. Daar staat tegenover dat bedrijven voortaan een up-to-dateprivacybeleid moeten uitwerken, zodat ze op alle vlakken, en op elk ogenblik de privacyregels (transparantie, rechtmatig doel, redelijke termijn,…) volgen. Min of meer zelfregulering voor bedrijven, maar de Privacycommissie zal op elk ogenblik kunnen vragen naar het beleid, procedures en documentatie.

Bedrijven met meer dan 250 medewerkers moeten een Data Protection Officier in dienst nemen, die erop moet toezien dat verwerking van de gegevens conform de privacyregels verloopt.

Ten slotte komt er ook een meldplicht voor datalekken. In België werden het afgelopen jaar slechts 13 van dergelijke lekken gemeld bij de Privacycommissie, naar alle waarschijnlijkheid slechts het topje van de ijsberg.

Torenhoge boetes

Tot op vandaag kan een orgaan als de Privacycommissie geen straffen uitdelen. Het kan waarschuwen, suggesteren, adviseren en interpelleren, maar voor een effectieve sanctie moet het dossier doorverwijzen naar de strafrechter, wat tot nu toe amper gebeurde.

De compromistekst van de nieuwe EU Data Protection Regulation voorziet echter boetes die kunnen oplopen tot 4 procent van de wereldwijde jaaromzet, met een maximum van 20 miljoen euro. Het ziet er bovendien naar uit dat België het voortouw wil nemen in de verstrenging van de privacywet. Staatssecretaris voor Privacy Bart Tommelein (Open VLD) liet vorig jaar al weten dat hij de Privacycommissie wil omvormen tot een regulator die administratieve boetes kan uitdelen.

Concurrentievoordeel

Eenmaal de EU Data Protection Regulation formeel is goedgekeurd, hebben de lidstaten twee jaar de tijd om zich aan de nieuwe regels aan te passen. In plaats van die overgangsperiode af te wachten, maken bedrijven beter gisteren dan vandaag werk van een degelijk privacybeleid.

Een eerste belangrijke stap is het in kaart brengen van de gegevensverwerking. Hoe komt data binnen? Wie zijn uw partners in de aanlevering en verwerking? Waar zitten de risico’s op lekken?

Eenmaal u een duidelijk beeld hebt van de dataprocessen in uw bedrijf, is het tijd om een strategie te bepalen. Gaat u voor een loutere compliancy met de regels? Of gaat u voor een statuut als ‘beste leerling van de klas’? Aangezien de bewustwording rond privacy en cyberveiligheid steeds toeneemt, kan u een degelijk privacybeleid immers ook steeds meer uitspelen als een belangrijk concurrentievoordeel.

Conclusie? De nieuwe EU Data Protection Regulation geldt niet enkel voor wereldwijde internetspelers als Facebook en Google. Elk bedrijf dat een database met persoonsgegevens bijhoudt, zal boetes riskeren indien het de regels niet naleeft. Gebruik de komende twee jaar om te investeren in uw pivacybeleid en gegevensbescherming, zo vermijdt u zware concurrentie van veiligere bedrijven, imagoschade of hoge boetes.