Ga naar content
Zoek op onderwerpen, blogs, diensten etc.
Kennis 5 GDPR-mythes ontkracht | Blog | Wortell

5 GDPR-mythes ontkracht | Blog | Wortell

Kennis
4-12-2020

Vandaag valt de term "GDPR" of "General Data Protection Regulation" niet meer weg te denken uit het huidige bedrijfslandschap. We worden langs alle kanten bestookt met webinars, blogs, best practices en andere tools die van ons een GDPR-expert zouden maken. Maar door die overvloed aan informatie is het soms moeilijk een onderscheid te maken tussen feiten en fictie. Welk advies volg je maar beter op en waar zitten de broodjeaapverhalen? Hieronder brengen we alvast 5 mythes aan het licht.

Mythe 1: GDPR is een Europese wet en geldt enkel binnen de EU.

FOUT. Ondanks het feit dat de GDPR een EU-regelgeving is, beperkt de reikwijdte van deze wetgeving zich niet enkel tot de geografische grenzen van de Europese Unie. De nieuwe regulering is van toepassing op alle organisaties binnen en buiten de EU die goederen en diensten leveren aan individuen (burgers en residenten) binnen de Europese Unie. Het gaat met andere woorden om een EU-regulering met een globale impact.

Mythe 2: Voor GDPR was er al een wet voor databescherming. 

FOUT. Hier dienen we het onderscheid tussen een directief en een regulering te belichten. De databescherming van vandaag bestaat onder de vorm van een Europees Directief. Deze werd door elke lidstaat afzonderlijk geïmplementeerd en bekrachtigd in zijn nationaal beleid. Zo ontstond er als het ware een Europees lappendeken van verschillende invullingen van het begrip databescherming per lidstaat. Om deze discrepantie weg te werken, zal de nieuwe richtlijn onder de vorm van een regulering opgelegd worden. Dit betekent dat de wetgeving rond databescherming vanaf 25 mei 2018 onaantastbaar is en bijgevolg op die exacte wijze dient geïmplementeerd en bekrachtigd te worden door alle 28 lidstaten.

Mythe 3: Het aanstellen van een Data Protection Officer (DPO) is verplicht vanaf een bepaald aantal werknemers (5000<) per organisatie.

FOUT. Wanneer een organisatie een DPO dient aan te stellen, wordt niet bepaald op basis van de grootte van de organisatie maar op basis van zijn core business, zie artikel 37 van de GDPR.
In totaal zijn er 3 verschillende organisatietypes die een DPO dienen aan te stellen op basis van hun core business. Zo zijn publieke autoriteiten die persoonlijke data verwerken verplicht een DPO aan te duiden, met uitzondering van juridische instanties zoals rechtbanken.
Daarnaast vereist de GDPR ook een Data Protection Officer voor organisaties waarvan een deel van hun hoofdtaak bestaat uit het systematisch monitoren van het (online) gedrag van individuen. Bedrijven als Google en Facebook behoren tot deze categorie.
Tot slot zijn organisaties waarbij het verwerken van bepaalde datacategorieën zoals gezondheid of religie deel uitmaakt van hun hoofdactiviteit, ook verplicht een DPO aan te stellen. Dit kan gaan over ziekenhuizen, farmaceutische bedrijven, onderzoeksinstituties, enzoverder.

Dit betekent dat bedrijven waarvan het verwerken van persoonlijke data niet deel uitmaakt van hun hoofdactiviteit, niet verplicht kunnen worden een DPO af te vaardigen. De organisatie in kwestie dient op zijn beurt wel te kunnen aantonen dat de verwerking van deze persoonsgegevens niet rechtstreeks verbonden is met hun core business.

Mythe 4: Het datasubject dat slachtoffer wordt van een datalek dient te allen tijde en binnen de 72uur op de hoogte gesteld te worden.

FOUT. Normaal gezien dienen er bij een datalek 2 instanties ingelicht geworden binnen de 72uur meldplicht. Dit betreft de toezichthoudende autoriteit, in België is dat de Privacy Commissie, en het datasubject waarvan de data afkomstig is, zie artikel 56 van de GDPR. Alleen bestaan er enkele uitzonderlijke gevallen waarbij men niet verplicht is het datasubject in te lichten over het datalek:

  • Wanneer de verantwoordelijke maatregelen getroffen heeft waardoor de persoonlijke data alsnog beschermd wordt (zoals bijvoorbeeld bij ‘encrypted data’).
  • Wanneer de verantwoordelijke maatregelen getroffen heeft waardoor de kans op schadelijke gevolgen niet waarschijnlijk is.
  • Wanneer het disproportioneel veel moeite zou kosten om elke betrokkene op de hoogte te stellen van het lek. In dergelijke gevallen wordt een publieke aankondiging ingezet.

Mythe 5: Elke organisatie die persoonsgegevens verzamelt en verwerkt, dient hiervoor de expliciete toestemming te krijgen van het datasubject.

FOUT. Volgens artikel 4(11) van de GDPR dient de toestemming van het datasubject voor het verzamelen en verwerken van zijn persoonsgegevens ondubbelzinnig of eenduidig te zijn, niet expliciet. Een eenduidige toestemming kan bijvoorbeeld gegeven worden onder de vorm van een ‘opt-in’-formulier waarbij een affirmatieve actie vereist is. Dit laatste wil zeggen dat de ‘opt-in’-optie niet vooraf aangeduid mag zijn. Een expliciete toestemming van het datasubject wordt enkel vereist wanneer het gaat om gevoelige persoonsdata. Dit betreft data van religieuze, etnische, genetische en politieke aard.