De Algemene Verordening Gegevensbescherming | KPMG | BE

De Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming

Onlangs is de Europese Algemene Verordening Gegevensbescherming (AVG) gepubliceerd in het Publicatieblad van de Europese Unie. Deze verordening maakt geen onderscheid tussen openbare en privébedrijven, wat betekent dat de publieke sector zich in zijn geheel zal moeten schikken naar de verplichtingen van de AVG.

1000

Contact

Manager Data Protection & Privacy, Technology Advisory

KPMG in Belgium

Contact

Gerelateerde content

data privacy

Onlangs is de Europese Algemene Verordening Gegevensbescherming (AVG)* gepubliceerd in het Publicatieblad van de Europese Unie. Deze verordening maakt geen onderscheid tussen openbare en privébedrijven, wat betekent dat de publieke sector zich in zijn geheel zal moeten schikken naar de verplichtingen van de AVG.

 

Dit zijn alvast een aantal veranderingen met grote gevolgen en nieuwe verplichtingen van de AVG:

1. Nieuwe verantwoordelijkheden voor verwerkers van persoonsgegevens

Een van de nieuwigheden met de grootste impact – voor verwerkers– is de verantwoordelijkheid die zowel op de schouders van de verwerkingsverantwoordelijken als verwerkers rust: de invoering van organisatorische en technische maatregelen om de verwerkte persoonlijke gegevens te beschermen. 

 

Onder de Gegevensbeschermingsrichtlijn van 1995 viel dit volledig onder de verantwoordelijkheid van de verwerkingsverantwoordelijke, maar nu verplicht de AVG ook de gegevensverwerker om veiligheidsmaatregelen in te voeren.

 

Belangrijke zaken om bij stil te staan:

  • Verwerkers moeten beoordelen of de bestaande maatregelen voldoen op het vlak van het doel en de omvang van de verwerking, de hoeveelheid verzamelde gegevens, de termijnen voor de gegevensopslag en de toegankelijkheid van de gegevens. (Privacy door standaardinstellingen – Privacy by Default)
  • Het doel en de omvang van de gegevensverwerkingsactiviteiten worden vastgelegd in een verwerkingsovereenkomst tussen de gegevensverantwoordelijke en de gegevensverwerker, waarin (bij voorkeur) ook de veiligheidsmaatregelen worden beschreven.

2. Rapportage van datalekken

Datalekken moeten binnen 72 uur na de vaststelling ervan worden gerapporteerd aan de toezichthoudende autoriteit. In België is dat de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL). 

 

De rapportage van datalekken hangt af van een aantal zaken:

  1. Weet de organisatie waar al haar persoonlijke gegevens worden opgeslagen? Wat zijn de zwakke punten van de organisatie die aanleiding kunnen geven tot datalekken?
  2. Beschikt de organisatie over voldoende middelen om vast te stellen wanneer zich een datalek heeft voorgedaan? Weet u of er zich een datalek heeft voorgedaan?
  3. Beschikt u over de nodige processen en procedures om snel te reageren op datalekken? Hoeveel tijd is er nodig om een datalek te behandelen? Volstaan 72 uur?

Belangrijke zaken om bij stil te staan:

  • Om datalekken aan te pakken, moeten heel wat mensen doordachte acties nemen. De rapportage vormt een van die acties. Voor een korte responstijd bij een datalek is het belangrijk dat er vooraf acties worden vastgelegd en testen (dry-run) worden uitgevoerd.
  • Alle datalekken – hoe klein ze ook mogen zijn – moeten worden geregistreerd en gedocumenteerd om nadien de naleving van de AVG te kunnen bewijzen.

3. Verplichte Functionaris voor gegevensbescherming

De tekst bepaalt dat een functionaris voor gegevensbescherming (Data Protection Officer, DPO) moet aangesteld worden indien: een overheidsinstantie of overheidsorgaan verwerking van persoonsgegevens verricht, of een gegevensverantwoordelijke of gegevensverwerker gegevens op 'grote schaal' verwerkt – ongeacht of de persoonlijke gegevens gevoelig zijn of niet.

 

Deze rol kan worden toebedeeld aan een interne medewerker of een externe leverancier, zolang de functiehouder maar wordt aangeduid op basis van zijn competenties en deskundigheid op het vlak van de wetgeving en praktijen inzake gegevensbescherming. Hoe die deskundigheid moet worden geïnterpreteerd, is nog niet helemaal duidelijk.

 

Belangrijke zaken om bij stil te staan:

  • De DPO heeft een onafhankelijke functie met een grote (mogelijke) invloed op de business. De functiehouder moet dus erg zorgvuldig worden gekozen. De DPO moet inzicht hebben in de business van de onderneming en ook beschikken over expertise op het vlak van de vereisten en regelgeving betreffende gegevensbescherming, zodat hij de organisatie correct kan adviseren en de onderneming gepast kan vertegenwoordigen. 

4. Boetes tot 20 miljoen euro of 4% van de globale jaaromzet

Bij het niet naleven van de AVG kunnen administratieve sancties worden opgelegd. 

  • Verwerkingsverantwoordelijken of verwerkers die hun verplichtingen niet nakomen, mogen zich aan een boete verwachten tot 10 miljoen euro of 2% van hun globale jaaromzet (altijd het hoogste van de twee).
  • Het niet naleven van de basisprincipes voor verwerking, de rechten van de persoon van wie de gegevens worden verwerkt (klant) of de goedgekeurde mechanismen voor gegevensoverdracht, kan resulteren in boetes tot 20 miljoen euro of 4% van de globale jaaromzet (altijd het hoogste van de twee).

Belangrijke zaken om bij stil te staan:

  • ij niet-naleving worden er boetes opgelegd. Daarom is het belangrijk dat u er eerst voor zorgt dat uw organisatie conform is met de regelgeving. Vervolgens zorgt u ervoor dat uw organisatie haar conformiteit kan bewijzen aan de hand van de nodige gegevens (bv. privacyeffectbeoordeling, gegevens over datalekken, toestemmingen enz.). De Belgische bedrijven hebben twee jaar de tijd om zich in regel te stellen en de nodige operationele of organisatorische hervormingen door te voeren. 

Op 4 mei 2016 is de Europese Algemene Verordening Gegevensbescherming gepubliceerd in het Publicatieblad van de Europese Unie. De verordening wordt van kracht op 25 mei 2018. De AVG vervangt de Gegevensbeschermingsrichtlijn van 1995 en heeft als doel de persoonlijke gegevens van Europese burgers in de huidige digitale wereld te beschermen en de wetgeving voor de verwerking van persoonlijke gegevens binnen de hele EU te harmoniseren. Dit zal een grote impact hebben op de manier waarop de private en openbare sector persoonlijke gegevens behandelen.

 

*General Data Protection Regulation (GDPR)

© 2017 KPMG Central Services, een Belgisch Economisch Samenwerkingsverband (“ESV/GIE”) en lid van het KPMG netwerk van zelfstandige ondernemingen die verbonden zijn met KPMG International Cooperative (“KPMG International”), een Zwitserse entiteit.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig