Afdwingbaarheid van de Belgische wet is beperkt, maar Europa wordt veel strikter

Inzicht

Slordig privacybeleid maakt kans op strenge sancties groter

  • Share

Vandaag hanteert België nog een beperkte afdwingbaarheid van de privacywetgeving. Vooral het risico op reputatieschade dreef bedrijven tot nu richting privacybeleid. Maar er komt een veel strengere Europese verordening aan. Voorkomen wordt veel goedkoper dan genezen.

‘De wettelijke basis voor de bescherming van de persoonlijke levenssfeer ligt in een wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer. Deze wetgeving in zijn huidige vorm is onder meer gebaseerd op de implementatie van de Europese richtlijn van 24 oktober 1995. In België gebeurde de invulling veel minder strikt dan in onze buurlanden, vooral qua afdwingbaarheid. De boetes zijn bijzonder laag. De toepassing wordt bijna niet actief gecontroleerd. Organisaties moeten vooral opletten dat gebrek aan privacybeleid hen geen reputatieschade berokkent. De wet stelt wel enkele principes voorop, met name hoe persoonsgegevens verwerkt mogen worden. De verwerking is enkel mogelijk indien dit op een eerlijke en rechtmatige wijze gebeurt en ook met een zekere doelgebondenheid. Een organisatie moet genoeg gegevens collecteren, maar niet meer dan nodig voor het specifiek doel dat ze nastreeft. Het principe van transparantie vereist dat je de persoon informeert over het gebruik van zijn gegevens’, schetst An Meheus, advocaat bij HVG.

‘Ook komt er een Europese verordening aan, die directe werking zal hebben in al de lidstaten. België kan daar geen eigen, lossere interpretatie aan geven. Het voorstel van verordening van 25 januari 2012 treedt in principe over twee jaar in werking. Het legt veel strengere normen op. Zo moeten bedrijven met meer dan 250 werknemers verplicht een ‘data privacy officer’ aanstellen. Toestemmen met het gegevensgebruik, wat nu nog vrij vaak impliciet gebeurt, zal veel explicieter moeten. De nieuwe regels worden ook meer afdwingbaar. Een lek van persoonlijke gegevens moet indien mogelijk binnen 24 uur worden gemeld aan de commissie voor de bescherming van de persoonlijke levenssfeer. Je riskeert ook boetes die kunnen oplopen tot 450.000 euro per overtreding en voor bepaalde overtredingen zelfs een boete van 2 procent van de jaarlijkse omzet. De commissie voor de bescherming van de persoonlijke levenssfeer zal actiever kunnen optreden. Verwacht wordt dat de commissie hiervan gebruik zal maken door bijvoorbeeld onaangekondigd controles uit te voeren bij bedrijven’, aldus nog An Meheus.

Pak het zelf nu aan

De advocaat raadt het hoger management in bedrijven aan om nu al van start te gaan met een degelijk privacybeleid en om de verwerking van persoonsgegevens goed te documenteren door adequate policies (beleidsdocumenten) op te maken. Het is belangrijk om iedereen in het bedrijf te sensibiliseren. ‘Ga niet te ver in het toekennen van toestemmingen voor toegang tot persoonsgegevens en houd deze niet nodeloos lang bij. Zorg ook voor transparantie door personen op sites of aankoopdocumenten duidelijk te informeren over wat er met hun gegevens gebeurt; met werknemers doe je dit bijvoorbeeld via het arbeidscontract. Vergeet niet dat iedereen het recht heeft om zijn persoonlijke gegevens na te kijken en te verbeteren.’

An Meheus beseft hoe moeilijk de klus is. ‘Persoonlijke gegevens zitten overal verspreid en het is moeilijk om een goed overzicht te hebben. Maar dat moet je nu echt wel doen. Er komen belangrijke wijzigingen aan, die een grote impact gaan hebben op de bedrijven. Dat geldt trouwens ook voor publieke organisaties of vzw’s; ook voor ziekenhuizen, die geconfronteerd worden met gevoelige persoonlijke gegevens waar nog strengere regels voor gelden.’