Deze website maakt gebruik van cookies. Lees meer of klik hier om te accepteren. Accepteren Lees meer

VCMB - Verbonden door creditmanagement kennis!
VCMB

De nieuwe Europese wet persoonsgegevens

De Europese Commissie werkt reeds enige jaren aan de hervorming van de wetgeving voor de verwerking persoonsgegevens. Daartoe maakte zij een Voorstel voor een Verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Dit moet de bestaande Richtlijn 1995/46/EG vervangen.
Er is al heel wat inkt gevloeid over de inhoud van dit voorstel voor een Verordening. Toch lijkt het nuttig om eens kort stil te staan bij een aantal van de vernieuwingen in de context van de verwerking van persoonsgegevens voor het doeleinde van klantenbeheer. Wat verandert er, indien dit voorstel wordt aangenomen? Voor alle duidelijkheid: het gaat om een ontwerp van toekomstige wetgeving. Deze verordening is dus nog niet aangenomen, laat staan in werking getreden.

De onderstaande analyse vertrekt van de ontwerptekst zelf, zonder rekening te houden met de discussies die er ondertussen geweest zijn in het kader van het wetgevend proces.

Toestemming

Op het vlak van de toestemming is er een aantal inhoudelijke en formele aanpassingen.

Het voorstel voorziet de mogelijkheid voor de betrokkene om diens toestemming op elk ogenblik in te trekken, zonder enige verdere vereiste. Er wordt dus voorzien in een algemene opt-out voor verwerkingen van persoonsgegevens, terwijl dit op dit ogenblik slechts mogelijk is voor (i) verwerkingen van bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens en gezondheidsgegevens), (ii) verwerkingen voor doeleinde van direct marketing en (iii) andere verwerkingen, mits er zwaarwegende en gerechtvaardigde redenen zijn, die verband houden met de bijzondere situatie van de betrokkene.

Het lijkt dus aangewezen om de verwerkingsgronden voor de verwerking van persoonsgegevens nauwgezet af te wegen. De verwerking baseren op de noodzaak voor de uitvoering van een overeenkomst, zal aanleiding geven tot een beperktere omvang van de verwerkingsmogelijkheden, maar wordt niet geconfronteerd met een mogelijke herroeping. De verwerking baseren op de toestemming geeft meer mogelijkheden (evenwel rekening houdend met de proportionaliteitsvereiste), maar kan geconfronteerd worden met een herroeping van de toestemming.

Formeel wijzigt er ook een en ander. Indien de toepassing voortvloeit uit een schriftelijke verklaring, dan dient de toestemming voor de verwerking van de persoonsgegevens afgesplitst te worden van de eventuele andere toestemmingen.

De toestemmingsvereisten voor de minderjarigen met betrekking tot de verwerking van persoonsgegevens worden eveneens uit het klassieke verbintenissenrecht (de zogenaamde  ‘handelingsbekwaamheid’) uitgelicht. Onder 13 jaar is de toestemming van de ouder of voogd vereist. Opgelet, het klassieke verbintenissenrecht blijft voor het overige van toepassing!

Rechten van de betrokkene

De betrokkenen behouden alle rechten die zij reeds genieten onder de bestaande wetgeving. Daarnaast verkrijgen zij een aantal nieuwe rechten. Twee ervan zullen een bijzondere impact hebben op de verwerking van persoonsgegevens voor klantenbeheer: (i) het recht om te worden vergeten en (ii) het recht van gegevensoverdraagbaarheid.

Het recht om te worden vergeten verleent de betrokkene de mogelijkheid, onder bepaalde voorwaarden, om te bekomen dat de hem betreffende persoonsgegevens worden gewist en dat de verdere verspreiding ervan achterwege blijft. Het gaat om een topic dat recent overigens sterk in de aandacht is gekomen naar aanleiding van een uitspraak van het Hof van Justitie van de Europese Unie.

Het recht van gegevensoverdraagbaarheid geeft de betrokkene het recht, opnieuw onder bepaalde voorwaarden, om persoonsgegevens in een algemeen gebruikt elektronisch formaat over te dragen naar een ander informaticasysteem zonder belemmering vanwege de oorspronkelijke verantwoordelijke voor de verwerking.

Beide rechten moeten nog concreet ingevuld worden, maar het staat nu al vast dat zij een technische en financiële impact zullen hebben.

Niet alleen de omvang van de rechten van de betrokkene wijzigt. Ook wordt er voorzien dat de verantwoordelijke voor de verwerking procedures moet uitwerken om de uitoefening ervan te vereenvoudigen en elektronisch te laten verlopen. Deze bepaling bevestigt een praktijk die reeds door veel ondernemingen wordt gehanteerd, al was het maar omdat zij zelf ook minder administratieve rompslomp wensen.
Bijkomende verplichtingen van de verantwoordelijke voor de verwerking
De verantwoordelijke voor de verwerking zal worden geconfronteerd met een aantal belangrijke nieuwe verplichtingen op het vlak van de organisatie en beveiliging van de verwerking. Het gaat onder andere om de volgende zaken:

  • privacy by design en privacy by default;
  • privacyeffectbeoordeling;
  • aanwijzing van een functionaris voor gegevensbescherming (‘data protection officer’);
  • meldingsplicht bij inbreuken (‘data breach notification’).

Privacy by design en privacy by default zijn momenteel als princiepsverplichting opgenomen. Voor de concrete invulling van deze verplichtingen dienen bijkomende maatregelen te worden genomen.

Bij de organisatie van de verwerking heeft de verantwoordelijke voor de verwerking een verplichting tot het uitvoeren van een privacyeffectbeoordeling. In essentie is dit niet nieuw, aangezien de algemene beginselen reeds een zekere beoordeling vereisen (bijvoorbeeld de eerlijkheid van de verwerking, de proportionaliteit en de tijdsbeperking). Het verschil zit hoofdzakelijk in de omvang en de documentatie ervan.

Voor grotere ondernemingen en ondernemingen die verwerkingen uitvoeren die een stelselmatige observatie van de betrokkenen vereisen (voor klantenbeheer zou dit wel het geval kunnen zijn, afhankelijk van de aard en de omvang van de verwerkingen), dient de verantwoordelijke voor de verwerking een functionaris voor gegevensbescherming aan te stellen. De functionaris heeft onder andere als taak (i) het informeren en adviseren omtrent de wettelijke verplichtingen, (ii) het toezien op de uitvoering van het privacybeleid en de toepasselijke wetgeving, (iii) het uitvoeren van de documentatieplicht, (iv) het verrichten van meldingen van inbreuken, (v) het toezien op de uitvoering van privacyeffectbeoordelingen en (vi) het optreden als contactpunt voor de toezichthoudende overheid.

De belangrijkste wijziging situeert zich op het vlak van de meldingsplicht bij inbreuken. Kort gesteld komt het erop neer dat elke inbreuk binnen een korte termijn (in de ontwerpverordening is er sprake van 24 uur, maar overschrijding is mogelijk mits met motivering) na de vaststelling van inbreuk moet worden gemeld aan de toezichthoudende overheid. Deze melding moet niet alleen een omschrijving van de inbreuk bevatten, maar eveneens aanbevelingen om de mogelijke nadelige gevolgen te verminderen evenals de maatregelen die de verantwoordelijke voor de verwerking heeft genomen of zal nemen. Men kan zich de vraag stellen of de termijn niet onrealistisch kort is. Er bestaat alvast een risico dat ondernemingen de melding voorrang zullen geven boven de maatregelen tegen de inbreuk zelf, en dat lijkt tegenstrijdig met de doelstelling van de ontwerpverordening.

Onder bepaalde omstandigheden zal de verantwoordelijke voor de verwerking eveneens de inbreuk moeten melden aan de betrokkene(n) zelf.

Sanctiemaatregelen

De huidige wetgeving voorziet op dit ogenblik reeds in een aantal middelen om de naleving ervan af te dwingen. Het gaat in België om een specifieke stakingsvordering, evenals strafrechtelijke sancties. Toch worden deze maatregelen door de toezichthoudende overheid niet als afdoende aangevoeld.

De belangrijkste nieuwigheid in de ontwerpverordening is de invoering van administratieve geldboetes bij schending ervan. De hoogte van de administratieve geldboete wordt bij ondernemingen gekoppeld aan de jaarlijkse wereldwijde omzet van de onderneming.

Kort besluit

De ontwerpverordening bevat een aantal nieuwigheden die een aanzienlijke impact zullen hebben op de verwerking van persoonsgegevens.

Een belangrijke wijziging is de mogelijkheid om een gegeven toestemming te herroepen. Dit zal ondernemingen er vermoedelijk toe aanzetten om verwerking op te splitsen in functie van de noodzaak van een toestemming.

Op het vlak van de organisatie van de verwerking zal een aantal bijkomende technische en organisatorische verplichtingen geïmplementeerd moeten worden. De juiste omvang van deze bijkomende verplichtingen is nog niet altijd gekend, bij gebreke aan uitvoeringsbepalingen.

Op het vlak van de naleving vallen vooral de (hoge) administratieve geldboetes op. Vooral in die landen waar dit afdwingingsmiddel nog niet bestaat, zal de impact van deze wijziging groot zijn. Andere landen, waaronder het Verenigd Koninkrijk, zijn meer vertrouwd met deze vorm van sanctie.

Wordt ongetwijfeld vervolgd …
Bron: Johan Vandendriessche, Advocaat-Vennoot, Crosslaw

Gerelateerde artikelen

Branche brede code lijkt ver weg

Branche brede code lijkt ver weg

VCMB leden hebben vanuit de verschillende creditmanagement sectoren onderzocht of een eenduidige gedragscode voor de creditmanagement branche mogelijk...

© 2018 VCMB Maatwerk software door Way2Web

Wanneer onderneemt u actie bij het signalen van betalingsachterstanden?

Laden ... Laden ...