“Nochtans biedt de GDPR ook opportuniteiten”, aldus Karel Holst, data protection officer & IT-law consultant bij IFORI en medeauteur van het boek ‘GDPR from a legal perspective’, dat eerstdaags verschijnt bij Story Publishers.

 

Welke impact heeft de nakende invoering van de GDPR voor Belgische bedrijven?

“In België bestaat er sinds 1992 een privacywet. Er ging echter weinig aandacht uit naar de daadwerkelijke afdwinging van deze wet, waardoor veel bedrijven de noodzaak niet inzagen om te voldoen aan deze regels. Met de invoering van de GDPR zullen bedrijven verplicht worden om maatregelen te treffen. Voor bedrijven die reeds voldeden aan de oude privacywet is de impact beperkt. Ondernemingen die van nul moeten starten, hebben wel een pak werk voor de boeg. Er zijn nog altijd bedrijven of verenigingen die denken dat de GDPR voor hen niet van toepassing is. Nochtans verwerkt quasi elke onderneming of organisatie persoonsgegevens, al zijn het maar de gegevens van klanten of leden in een CRM-systeem of de persoonsgegevens van werknemers.”

 

Waarin verschilt de GDPR van de oude Belgische privacywet?

“De grote lijnen van beide wetgevingen zijn vergelijkbaar, maar de GDPR heeft enkele opvallende nieuwe bepalingen. Zo zullen sommige bedrijven verplicht een Data Protection Officer moeten aanstellen die moet toezien op het goed verloop van de gegevensverwerking. Daarnaast moet er in sommige gevallen een verplichte impact assessment plaatsvinden om de risico’s van de verwerking te analyseren en in te dekken. Ook het privacy by design principe is een opvallende nieuwigheid die bedrijven verplicht om van bij de opstart van nieuwe projecten na te denken over het privacy aspect.”

 

Veel bedrijven zien de deadline angstig tegemoet. Terecht volgens u?

“Er is al heel wat gezegd over de mogelijke monsterboetes. De verwachting is dat de grote internationale bedrijven of bedrijven die gevoelige (medische) persoonsgegevens verwerken als eerste een controle mogen verwachten, maar op termijn zal niemand aan een controle ontkomen. Bovendien laat de GDPR toe om een class-action lawsuit aan te spannen tegen bedrijven die in overtreding zijn. Zo kan een groep van betrokken zich laten vertegenwoordigen door één partij.”

“De GDPR biedt bedrijven echter ook opportuniteiten. Een bedrijf dat voldoet aan de GDPR toont hiermee zijn professionalisme en betrokkenheid op het vlak van privacy. Zo wordt het een interessant verkoopargument waarmee men zich kan onderscheiden. Bovendien wordt de uitwisseling van persoonsgegevens tussen verschillende landen binnen de EU een stuk eenvoudiger omdat de Europese GDPR de verschillende nationale privacywetten vervangt. Ook verdwijnen er met de GDPR een aantal administratieve verplichtingen zoals het aangeven van de gegevensverwerking bij de Privacycommissie.”