Advocaat Bart Van den Brande, managing partner Sirius Legal, hield afgelopen dinsdag tijdens de derde eTrade Summit in Antwerpen, een groots opgezet initiatief van organisator en labelorganisatie SafeShops.be, een opmerkelijke presentatie. Als specialist in e-commerce en privacyrecht waarschuwde hij voor de impact van de nieuwe regels rond privacy en bescherming van persoonsgegevens die door de Europese Unie recent zijn uitgevaardigd en tegen voorjaar 2018 in werking treden.
De onderliggende boodschap van de nieuwe Algemene Verordening Gegevensbescherming was duidelijk: elk bedrijf dat persoonsgegevens verwerkt, online of offline, staat voor ingrijpende aanpassingen in zijn interne processen en in de wijze waarop het met zijn database omgaat.
Bedrijven zullen voor 2018 een audit moeten uitvoeren om intern in kaart te brengen welke databases zij bezitten, door wie die beheerd worden, hoe data daarin terecht komt, wie er toegang toe heeft en wat er met die data gebeurt. Het gaat daarbij duidelijk niet enkel om marketing- of klantendatases, maar ook om gegevens van HR of van het accountingdepartement.
Aansluitend moet een risicoanalyse uitgevoerd en gedocumenteerd worden om het risico op verlies of hacking van data in te schatten en een plan geïmplementeerd worden om op het ogenblik dat er sprake is van een data breach onmiddellijk het nodige te doen. In de toekomst zal men in dergelijke situatie verplicht zijn om binnen de drie dagen de overheid en in veel gevallen alle personen wiens gegevens ontvreemd zijn, individueel te contacteren.
Dat samen met de verplichting om maximale interne veiligheidsmaatregelen te nemen voor toegang tot en gebruik van database (zowel technisch als bijvoorbeeld in arbeidsreglementen) en de verplichting om met alle onderaannemers geschreven contracten aan te gaan met daarin een reeks verplichte clausules, zorgt ervoor dat bedrijven een hele oefening voor de boeg hebben als ze in 2018 voorbereid en wettelijk in orde aan de start willen komen.
De nieuwe privacyverordening brengt ook nieuwe regels met zich wat betreft de manier waarop bedrijven data verzamelen. Data van minderjarigen onder de 13 zullen alleen mits voorafgaande toestemming van de ouders kunnen gegenereerd worden. Consumenten zullen zich kunnen verzetten tegen zogenaamde profiling: het feit dat bedrijven een consumentenprofiel op basis van voorkeuren, aankoopgedrag, leeftijd, enz bouwen.
De regels rond “privacy by design” en “privacy by default” kunnen door bedrijven best niet te luchtig opgenomen worden. Bedrijven zullen in de toekomst de grootst mogelijke bescherming van de privacy van de gebruiker, die steeds zélf actief moet kiezen om bepaalde data vrij te geven of te delen, voor ogen moeten houden.
De gevolgen voor wie buiten de lijntjes kleurt, zijn niet min. Boetes tot 4% van de jaarlijkse omzet van een bedrijf zijn voldoende om bedrijven in ernstige financiële moeilijkheden te brengen.
De boodschap die Sirius Legal bracht was dan wel niet de meest positieve of opbeurende van de dag, maar heeft wel de aanwezige deelnemers gesensibiliseerd.
Volgens Bart Van den Brande moeten grotere organisaties of bedrijven die over aanzienlijke databases beschikken minstens enkele maanden tot een klein jaar voorzien om zich voor te bereiden. Alles begint met interne vorming en voorlichting van het betrokken personeel, gevolgd door een gedegen audit om vervolgens op basis daarvan de nodige maatregelen te nemen door procedures en processen aan te passen, de nodige veiligheidsmaatregelen te nemen, contracten aan te passen, interne reglementen en arbeidsreglementen aan te passen en vervolgens ook privacy policies, opt-ins en uitgaande communicatie te gaan aanpassen.