De AVG komt eraan | KPMG | BE

De AVG komt eraan ... wat moet u weten?

De AVG komt eraan ... wat moet u weten?

Op 14 april 2016 kwam de Europese Unie tot een akkoord over de zogenaamde "Algemene verordening gegevensbescherming" (of kortweg "AVG", ook gekend als de GDPR). De verordening zal vanaf 25 mei 2018 in alle lidstaten van de Europese Unie worden ingevoerd (ter vervanging van de huidige nationale wetgevingen) en zal een grote impact hebben op de manier waarop ondernemingen en organisaties omgaan met 'persoonsgegevens'.

Gerelateerde content

online shopping

De AVG is van toepassing op alle ondernemingen en organisaties die persoonsgegevens verwerken. Niet enkel op degene die hun hoofdvestiging in een lidstaat van de EU hebben dus, maar ook op degene die buiten de EU zijn gevestigd, en goederen of diensten aan EU-burgers aanbieden, of het gedrag van EU-burgers actief controleren.

 

Wat betekent 'verwerking van persoonsgegevens' nu eigenlijk?

  • 'Persoonsgegevens' slaat op alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (zoals een naam, een adres, een fysieke of genetische identiteit, maar ook een IP-adres enz.);
  • 'Verwerking' betreft elke activiteit met betrekking tot persoonsgegevens, zoals het (louter) opslaan ervan, maar ook het verwerken van die gegevens voor marketing- of andere doeleinden.

 

Daaruit volgt overduidelijk dat de meeste ondernemingen en organisaties die actief zijn in de consumentenmarkt, grote hoeveelheden persoonsgegevens verwerken (bv. in het kader van direct marketing, klantenkaarten ...) en dus zullen moeten voldoen aan de bepalingen van de AVG. 

Concreet wordt de privacywetgeving aan onze huidige digitale wereld aangepast, dankzij de AVG. Enerzijds wordt een aantal zaken eenvoudiger (zo zullen verwerkingsactiviteiten niet langer officieel aan de privacycommissie moeten worden gemeld), maar anderzijds ligt volgens de AVG de handhavingsverantwoordelijkheid bij de ondernemingen en organisaties zelf – zij zullen moeten bewijzen dat ze voldoen aan de in de AVG opgenomen bepalingen. Als ze dat niet doen (en hierin ligt het grootste verschil met vroeger), kunnen ze geldboeten krijgen die oplopen tot 4% van hun totale wereldwijde jaaromzet (of 20 mio EUR).

Onder de nieuwe AVG zijn de wettelijke gronden waarop persoonsgegevensverwerking kan worden gebaseerd, duidelijker gedefinieerd. Persoonsgegevensverwerking wordt enkel toegestaan in bepaalde gevallen, bijvoorbeeld als het nodig is om een overeenkomst uit te voeren. Een online retailer moet bv. het adres van zijn klant kunnen verwerken om zijn of haar bestelling te kunnen afleveren. 

'Toestemming' zal nog steeds worden aanvaard als wettelijke grond voor het verwerken van persoonsgegevens. Maar het begrip 'toestemming' zal niet meer zo breed kunnen worden geïnterpreteerd. Toestemming moet een blijk van "vrije, specifieke, geïnformeerde en ondubbelzinnige" wilsuiting zijn; wat betekent dat de 'opt-out'-techniek (een techniek die nog steeds vaak in het kader van onlinemarketing wordt gebruikt) moet worden vervangen door het 'opt-in'-principe. 

Consumenten kunnen dankzij de AVG ook nieuwe en betere rechten genieten, zoals het 'recht op vergetelheid' (i.e. recht op gegevenswissing) of het recht op gegevensoverdraagbaarheid. Privacybeleid en andere contractuele documenten zullen dus naar alle waarschijnlijkheid moeten worden bijgewerkt conform de bepalingen in de AVG. En dat geldt ook voor processen en procedures. 

Omdat retailers doorgaans grote hoeveelheden persoonsgegevens verwerken en die 'gegevens' voor hen alsmaar belangrijker worden (om consumentengedrag te kunnen voorspellen, om aan doelgerichte marketing te doen ...), heeft de AVG grote gevolgen voor onder meer de retail- en consumentenmarktensector. Het bestaande beleid en de huidige processen zijn vaak niet in overeenstemming met de nieuwe wetgeving. In onze ervaring duurt het zelfs enkele maanden tot een jaar (afhankelijk van de grootte van de organisatie en de hoeveelheid persoonsgegevens die er worden verwerkt) om aan de bepalingen in de AVG te voldoen. 

Dat betekent dat voldoen aan de AVG kan voor organisaties die persoonsgegevens verwerken, gerust een ernstige 'uitdaging' worden genoemd. Toch zijn er voor retailers ook voordelen aan verbonden. Een duidelijk en transparant privacybeleid kan consumenten net méér vertrouwen geven in uw onderneming.

Meer weten? Neem contact op met een van onze deskundigen.

© 2018 Kratos Law, een Belgische burg. CVBA. Alle rechten voorbehouden. * Kratos Law burg. CVBA vormt een kostengroepering met KPMG Belastingconsulenten burg. CVBA

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig