8 Misverstanden over de Europese Privacywet

Er bestaan veel misverstanden over de nieuwe Europese privacywetgeving. Dat GDPR is een all-in oplossing is of dat het niet zou gelden voor kleine ondernemingen, zijn alvast twee misverstanden om uit de weg te ruimen.

1. De Europese privacywet geldt niet voor kleine ondernemingen

Hoewel er enkele toegevingen worden gedaan aan kleine ondernemers en KMO’s is de privacywet van toepassing op alle organisaties die persoonlijke data verwerken. De impact van de GDPR op een onderneming hangt af van de wijze waarop data worden verwerkt, en niet van het aantal data of de omvang van de organisatie.
Wanneer het verwerken van data of monitoren van individuen onderdeel is van de kernactiviteiten van de onderneming, dan is de GDPR zeker van toepassing. De omschrijving ‘kernactiviteiten’ wordt echter niet nader gespecificeerd. Het beste is ervan uit te gaan dat de verordening geldt voor iedere onderneming die met een commercieel belang identificeerbare persoonlijke gegevens verwerkt.

2. Iedere onderneming waarop de privacywet van toepassing is, moet een Data Protection Officer (DPO) aanwijzen

Het feit dat de privacywet van toepassing is, betekent niet dat die onderneming een Data Protection Officer (functionaris voor gegevensbescherming) moet aanduiden. Dat is alleen het geval voor publieke instellingen die data verwerken, ondernemingen die persoonlijke data systematisch op grote schaal verwerken, en organisaties die data verwerken over specifieke datacategorieën, bijvoorbeeld gezondheid. Maar ook al valt een onderneming niet onder een van die categorieën, dan kan het alsnog verstandig zijn om een DPO aan te wijzen. Ook een externe DPO blijft mogelijk, zoals een advocaat. Dat zorgt voor extra toezicht en brengt meer duidelijkheid bij geschillen.

3. De aanwijzing van een Data Protection Officer is slechts een formaliteit

De privacywet schrijft voor dat een Data Protection Officer ‘expert knowledge’ heeft over privacy en databeveiliging. Bovendien moet de DPO op de hoogte zijn van de bedrijfsspecifieke dataprocessen. Het eenvoudigweg aanwijzen van een van de medewerkers van de onderneming als DPO is dus niet voldoende.

4. Onze onderneming versleutelt data, dus voldoen we aan de normen

Het is een misverstand dat enkel het versleutelen van data volstaat om te voldoen aan de nieuwe wettelijke bepalingen. Ondernemingen moeten extra mogelijkheden bieden om persoonlijke data te beschermen, zoals multifactor authenticatie en het permanent verwijderen van data die niet meer worden gebruikt.

5. Data worden in de Cloud bewaard, dus de verantwoordelijkheid voor databeveiliging ligt bij de Cloud provider

De privacywet geldt niet alleen voor bedrijven die data opslaan, maar ook voor ondernemingen die de data verwerken. Dat betekent dat de GDPR ook van toepassing is als een onderneming gebruikmaakt van externe providers voor gegevensopslag bij het verwerken van data.

6. Mijn onderneming voldoet aan de privacywet, dus ze voldoet ook aan GDPR

De GDPR vervangt de databeschermingsrichtlijn, die in België is omgezet in de privacywet. De GDPR en de privacywet zijn echter in vele opzichten verschillend. Bijvoorbeeld verschillen in de wijze waarop de gebruiker toestemming moet verlenen voor de verwerking van zijn of haar data, en de manier waarop de gebruiker geïnformeerd moet worden bij datalekken. Wel is het zo dat het voldoen aan de privacywet zorgt voor een eenvoudigere overgang naar de GDPR.

7. Mijn onderneming voldoet aan het Privacy Shield, dus we voldoen ook aan GDPR

Hoewel er veel overeenkomsten zijn tussen de regelgeving van het Privacy Shield (de overeenkomst tussen de EU en de Verenigde Staten in opvolging van de Safe Harbour-overeenkomst) en de regelgeving van de GDPR, zijn de twee systemen niet volledig gelijk. Het Privacy Shield heeft slechts betrekking op een van de vele onderwerpen van de GDPR, namelijk internationale datatransfers. Het Privacy Shield zegt bijvoorbeeld niets over gebruikerstoestemmingen, data protection officers en meer.

8. GDPR is een all-in oplossing voor dataverwerking in Europa

De GDPR is bedoeld als een universele verordening die de regelgeving in Europa vereenvoudigt en een maakt. In de praktijk is dit echter niet het geval. Voor multinationals is de GDPR slechts een verordening naast een aantal andere. Zo zijn er bijvoorbeeld verschillende wettelijke regels over de meldingsplicht in geval van een datalek. Daarnaast moeten ondernemingen voldoen aan nationale privacy regels. Het wordt nog gecompliceerder als de GDPR tegenstrijdig blijkt te zijn met nationale of branche gerelateerde richtlijnen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *