In België is het privacydebat helemaal losgebarsten. In de hoofdrol: een ijverige politicus, een privacycommissie die de tanden laat zien én enkele grote bedrijven die de regels niet zouden respecteren. Ook in Nederland staat er op dit vlak veel te veranderen, met dank aan de aankomende Europese privacyverordening.
In juni maakte de Privacycommissie in België bekend dat ze Facebook voor de rechter daagt. Reden? De sociale netwerksite weigerde in te gaan op de vraag van de commissie om meer transparantie. Het is de eerste keer dat een Europese Privacycommissie Facebook voor de rechter daagt. Eerder bevestigde staatssecretaris voor Privacy Bart Tommelein (Open VLD) dat hij nog dit najaar een wetsontwerp wil indienen om de slagkracht van de Privacycommissie gevoelig te verhogen. Tot op vandaag heeft het orgaan een bemiddelende functie, maar Tommelein wil de Privacycommissie omvormen tot een echte regulator, die zelf administratieve boetes kan uitdelen.
Data Protection Regulation
De timing van deze gebeurtenissen is niet toevallig. Binnen de Europese Unie lopen de onderhandelingen over een gemeenschappelijke privacyverordening op volle toeren. De nieuwe Data Protection Regulation moet een einde maken aan de fragmentatie van de wetgeving in Europa en de burgers wapenen tegen wereldwijde internetspelers die persoonsgegevens misbruiken.
We staan aan de vooravond van een nieuw hoofdstuk in privacyregulering. Eentje die niet alleen invloed zal hebben op de Googles en Facebooks van deze wereld, maar op alle bedrijven – groot of klein – die databases met persoonsgegevens bijhouden.
Wat verandert er?
Zopas zijn de grote lijnen van de aankomende verordening bekend gemaakt. De basisprincipes van de vorige Europese richtlijn, transparantie en een rechtmatig doel om gegevens bij te houden, blijven wellicht behouden. Wat zeker verandert, is de afdwingbaarheid van die principes.
Tot vandaag is er enkel een aangifteplicht bij de Privacycommissie voor bedrijven die persoonsgegevens van individuen bijhouden. Controles of audits gebeuren zelden of nooit. De Data Protection Regulation vraagt een privacybeleid. Elk bedrijf moet met andere woorden ten alle tijden kunnen voorleggen hoe het gegevens verzamelt, waarvoor het de gegevens gebruikt en hoe het die data bewaart. Met dat beleid, moet een organisatie kunnen aantonen dat ze op een deugdelijke manier persoonsgegevens verwerkt.
Bedrijven die jaarlijks persoonsgegevens van meer dan 5.000 mensen verwerken, worden bovendien verplicht een Data Protection Officer aan te nemen. Dat is een soort compliance officer, die erop toeziet dat het hele privacybeleid conform is met de regelgeving.
Tijd voor actie
Bij veel bedrijven staat privacy evenwel niet (hoog) op de agenda. Begrijpelijk, want er hangt hen niets boven het hoofd. De Privacycommissie heeft vandaag ook weinig wapens in handen. Maar de situatie is wel degelijk aan het veranderen. België neemt trouwens het voortouw in een verstrenging van de privacyteugels.
Aan de vooravond van deze nieuwe regels, is het cruciaal voor organisaties om intern en extern de dialoog aan te gaan over privacy. Het is het uitgelezen moment om voorbereidingen te treffen op de nieuwe regels. Begin met de volgende vragen: welke data verwerkt mijn bedrijf? Hoe komen die gegevens binnen? Heb ik een legitiem doel om de gegevens te verwerken? Hoe ga ik om met gevoelige gegevens? Hebben klanten de mogelijkheid om verzet aan te tekenen?
Door nu al te werken aan een privacybeleid, bent u voorbereid op een evolutie die er sowieso zit aan te komen.
Bron: Graydon Blog