Op dit moment gelden voor iedereen dezelfde regels over gegevensbescherming en privacy, ongeacht de omvang van uw organisatie. Met de goedkeuring van de General Data Protection Regulation (of GDPR) erkent de Europese Unie dat KMO’s een andere benadering nodig hebben. Hoewel niemand aan de verordening mag ontsnappen, zijn er een aantal uitzonderingen die toepasbaar zijn op kleine en middelgrote ondernemingen.
General Data Protection Regulation: onwetendheid bij KMO’s
In Juni 2016 leidde een enquête bij eigenaars en management van Britse KMO’s tot opvallende resultaten:
- 82% van de bedrijven heeft nog niet gehoord van GDPR of begrijpt de impact ervan niet;
- 14% heeft nood aan advies;
- Slechts 4% van de bevraagde bedrijven zegt dat ze de verordening en de mogelijke effecten ervan begrijpen.
Dit is niet volledig verrassend, aangezien de GDPR enkele uitzonderingen kent voor KMO’s en een aantal oorspronkelijke voorstellen voor KMO de definitieve versie niet haalden, waardoor verwarring kon ontstaan. Binnen twee jaar tijd, in mei 2018, hoort ieder bedrijf in regel te zijn, dus luidt onze voornaamste tip: informeer uzelf voldoende!
GDPR: geen ontsnappen aan
De EU verwacht dat KMO’s volledig aan de General Data Protection Regulation voldoen. Kleine en middelgrote ondernemingen horen hun gegevensstromen en -procedures net zo goed op te volgen als grotere of beter uitgeruste organisaties. Het doel is voor iedereen om een evenwicht te vinden tussen de eigen legitieme belangen en de rechten van dataverstrekkers. Dat u een KMO runt, is niet voldoende reden om de GDPR niet na te komen. Dat wil echter niet zeggen dat u verplicht bent een hele resem bureaucratische processen in gang te zetten, want er zijn wel degelijk uitzonderingen. Weet echter dat de GDPR verwacht dat iedere gegevensverantwoordelijke meer proactief zal optreden met betrekking tot gegevensbescherming en privacy, ongeacht de grootte van de organisatie.
GDPR: uitzonderingen voor KMO’s
De GDPR bevat een aantal uitzonderingen voor en specifieke verwijzingen naar KMO’s. De uitzonderingen lijken gebaseerd te zijn op het kleinere risico dat ze vormen: een KMO vormt een kleiner risico voor de privacy van Europese burgers in vergelijking met complexere organisaties met meerdere verwerkingsactiviteiten en grotere databases. Bovendien wil de EU haar bedrijven niet overspoelen met bureaucratische processen wanneer dat niet noodzakelijk is en de vrije beweging van gegevens binnen de Unie in het gedrang zou kunnen komen.
Data Protection Officer
De GDPR bevat geen uitzondering voor KMO’s met betrekking tot de Data Protection Officer of DPO. Iedere organisatie moet een DPO aanduiden, indien ze aan één van de volgende voorwaarden voldoet:
- U bent een overheidsinstantie (behalve een gerecht in uitvoering van haar rechtelijke taken);
- Of u verwerkt de gegevens van meer dan 5.000 gegevensverstrekkers per jaar;
- Of U verwerkt bijzondere categorieën van gegevens of gegevens met betrekking tot strafrechtelijke feiten;
- Of u bent als verantwoordelijke of verwerker hoofdzakelijk belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal eisen (vanwege aard, omvang of doelstellingen).
In dat laatste puntje wringt het schoentje. “Hoofdzakelijk belast met” betekent dat de verwerkingen deel uitmaken van de kernactiviteiten van de organisatie. In een voorgestelde kladversie van de GDPR werden kernactiviteiten gedefinieerd als activiteiten waarbij 50% van de jaarlijkse omzet door de verkoop van data of van de winst door deze data gecreëerd wordt. Dit zou vele KMO’s uitsluiten, aangezien gegevensgebruik vaak secundair is ten opzichte van hun hoofdactiviteit. De EU opteerde uiteindelijk niet voor deze definitie. Aangezien KMO’s graag verduidelijking willen over deze voorwaarde, zal er waarschijnlijk in de toekomst nog een gedetailleerde uitleg over volgen.
Boetes
Qua boetes zal de Europese Unie een tweeledig systeem hanteren: voor de minder serieuze schendingen (zoals administratief falen) kunnen ze een boete heffen tot € 10.000.000 of 2% van de wereldwijde omzet? Voor fundamentele schendingen (zoals een schending van de basisprincipes of van de rechten van de dataverstrekker) kunnen ze een hogere boete van € 20.000.000 of 4% van de wereldwijde omzet heffen.
Een voorstel was dat KMO’s een schriftelijke waarschuwing konden krijgen voor eerste en non-intentionele schendingen, maar deze mildere straf is uit de definitieve versie geschrapt. Bijgevolg zijn alle bedrijven aan de verordening onderhevig, ongeacht hun omvang. Voor KMO’s ligt het risico vooral bij de minder serieuze schendingen, die het gevolg kunnen zijn van procedurele fouten.
Register van verwerkingsactiviteiten
Nu moeten bedrijven de regionale bevoegde autoriteit waarschuwen bij iedere verwerkingsactiviteit. In België ligt die autoriteit bij de Privacycommissie. Aangezien op de schending van die regel criminele en burgerlijke straffen konden staan, zullen vele bedrijfsleiders opgelucht ademhalen om te horen dat hij vanaf 2018 wordt afgeschaft. In de plaats daarvan bepaalt de GDPR dat iedere verwerker een register moet bijhouden van zijn verwerkingsactiviteiten.
In dat register houdt u volgende zaken bij:
- Het doel van de verwerking;
- Een omschrijving van de categorieën van gegevens en hun verstrekkers;
- De ontvangers die inzicht krijgen in de gegevens;
- Een omschrijving van de veiligheidsmaatregelen die de verantwoordelijke nam;
- Indien mogelijk: de tijdslimiet voor het wissen van de gegevens.
Belangrijk is de uitzondering op de regel: gegevensverantwoordelijken en verwerkers met minder dan 250 werknemers hoeven geen register bij te houden, tenzij de verwerking
- Een risico inhoudt voor de rechten en vrijheden van gegevensverstrekkers;
- Of niet occasioneel is;
- Of over gevoelige persoonlijke data gaat.
Verwerkers en gegevensverantwoordelijken
Voor gegevensverwerkers brengt de GDPR de volgende belangrijkste (eventuele) verplichtingen met zich mee:
- Meldingsplicht van een gegevenslek binnen de 72 uur;
- Aanduiding van een DPO;
- Bijhouden van een register;
- Directe aansprakelijkheid voor monetaire compensatie;
- Toezicht houden op de verantwoordelijken en assisteren bij de nakoming van zijn verplichtingen;
- Impactanalyses opstellen en consultaties houden met de bevoegde autoriteit.
Op het eerste gezicht lijkt dit goed nieuws voor KMO’s met gegevensverantwoordelijkheid: de verwerkers moeten helpen met de nakoming van uw verplichtingen. Het gevolg is echter dat afspraken tussen verantwoordelijken en verwerkers niet meer geldig zullen zijn onder de GDPR. Verwerkers hebben nu de kans om opnieuw over de voorwaarden te handelen en om de risico’s die zij lopen te verkleinen. Bij onderhandelingen met grotere bedrijven, krijgen KMO’s het vaak moeilijk.
Rechten van dataverstrekkers
De basisrechten van de gegevensverstrekkers zullen zijn dat ze hun gegevens mogen bekijken, wijzigen en laten wissen. Tenminste, als er aan bepaalde voorwaarde is voldaan. KMO’s zullen echter in staat zijn om een vergoeding te vragen om toegang te verlenen tot gegevens wanneer de vraag ernaar buitensporig is en vaak voorkomt.
De GDPR: hoe pakt u dit aan als KMO?
Download onze handige GDPR-checklist om uw bedrijf voldoende voor te bereiden op de veranderingen van 2018, zodat u zich tijdig volledig in regel kan stellen.