linkedintwitter

NEW EU PRIVACY RULES WHAT’S UP???

De nieuwe Europese verordening rond dataprotectie treedt in voege vanaf mei 2018 en scherpt de bestaande privacyregels stevig aan. We legden ons oor te luisteren bij Dominique Pissoort, die de reden voor de aanpassing en de concrete veranderingen met ons overloopt.
Waarom is er op Europees vlak een nieuwe regelgeving over dataprotectie nodig? Voldeed de bestaande niet meer? Eigenlijk niet, want die richtlijn (Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995) is eind 1995 in werking getreden. Dat is dus nog uit de tijd dat er nauwelijks over het internet werd gesproken en begrippen als social media en big data onbekend waren.
“De richtlijn is oud en ‘out of date’,” zegt Dominique Pissoort. De richtlijn is beperkt in scope en kan eventuele misbruiken op en door social media als Facebook niet aanpakken. Ook de ‘connected’ maatschappij (met het ‘internet of things’) gaat veel verder dan wat de oude richtlijn bestrijkt. Logisch dus dat er een aanpassing van de regels komt die in lijn is met de evoluties van de voorbije jaren.

Meteen en voor iedereen

Die aanpassing treedt vanaf mei 2018 in voege onder de vorm van een zgn. ‘regulation’ of verordening en niet van de meer bekende richtlijn. Dat lijkt voor de buitenstaander een woordspelletje maar er is een hemelsbreed verschil tussen die twee termen. Domini.que Pissoort: “Een richtlijn moet omgezet worden in een nationale wetgeving – wat tijd vraagt – terwijl een verordening direct van toepassing is voor iedereen.” Dat wil ook zeggen dat die teksten in principe voor iedereen dezelfde draagwijdte hebben. In principe, want, zo zegt Dominique Pissoort: “Het probleem is dat de verordening op een aantal punten vaag is. Er moet dus een interpretatie komen, maar we weten nog niet wie die interpretatie zal uitvoeren. Wordt het gedaan door de Europese overheden of door de lan.den apart? In het laatste geval kan er mogelijk weer een verschil optreden tussen verschillende lidstaten.”

Wat verandert er?

Wat wordt er vanaf mei 2018 precies anders? De basis van de bestaande richtlijn blijft behouden, maar er komen nieuwe, strengere bepalingen. Toch gaat er volgens Dominique Pissoort meer veranderen dan dat: “De verordening biedt meer transparantie voor de personen – de zgn. ‘data-subjecten’ – zowel in B2C als in B2B. Dat maakt het voor de bedrijven zwaarder om de regels toe te passen.”
Eén van de grote veranderingen is dat er méér infor.matie aan de consument gegeven moet worden over hoe men aan zijn/haar data is gekomen en wat men met die data zal doen. Nu lukt het nog om een privacy verklaring in zes lijnen neer te schrijven, maar vanaf 2018 zullen de bedrijven er een lijn of zes aan toe moeten voegen. Voor websites en e-mailing is dat geen probleem: op de site is ruimte te over en in een e-mail kan eenvoudigweg een link naar de privacy policy opgenomen worden. Moeilijker wordt het voor ‘klassieke’ dm-media als direct mail en telefoon, waar ruimte en tijd beperkt zijn.
De bedrijven moeten ook aangeven hoe lang de bewaartermijn van data is. Het komt er op neer dat ze die consumentendata niet langer mogen bewaren dan noodzakelijk is, maar die periode kan van doeleinde tot doeleinde verschillen. Bovendien bestaan er fiscale verplichtingen voor het bewaren van transactionele data. Het kan dus voorkomen dat gegevens vanuit data protectie niet langer bewaard mogen worden, maar dat vanuit fiscaal oogpunt nog wel moet. Dominique Pissoort: “Concreet gezien zullen de verschillende bewaartermijnen bepaald worden in een ruimere documentatie met betrekking tot het ‘retentiebeleid’.”

Meer rechten voor de consument

De consument of het ‘data-subject’, krijgt een aantal extra rechten. Naast de bestaande rechten – het recht op toegang, het recht op verbetering en het recht op verzet – komen er het recht om vergeten te mogen worden, het recht op data-overdraagbaarheid en het recht op beperking van verwerking.
Het recht om vergeten te mogen worden houdt in dat het data-subject de verwijdering van zijn/haar gegevens mag vragen. En dat zal in de praktijk een totale ‘delete’ zijn. Er zal met andere woorden geen spoor meer van het data-subject zijn. Dominique Pissoort ziet daar ook mogelijke problemen. Want anders dan in een opt-out-situatie (à la Robinson-lijst) mag er geen bestand zijn van mensen die vergeten willen worden. Als een bedrijf een prospectiebestand huurt, kan het zijn dat er gegevens in opgenomen zijn van personen die van hun recht om vergeten te worden gebruik hebben gemaakt. Er kan echter geen ontdubbeling plaatsvinden, want de gegevens over die personen zijn er niet meer ... Een bedrijf weet dus niet meer of zo’n prospect vergeten wilde worden.
Het recht op data-overdraagbaarheid slaat dan weer op het doorgeven van persoonlijke gegevens van de ene naar de andere provider. Als iemand van Facebook naar Instagram wil verhuizen, moet Facebook de foto’s en teksten die de ‘abonnee’ op zijn pagina gezet heeft, doorgeven aan Instagram op zo’n manier dat die makkelijk te lezen zijn door de nieuwe provider. Dominique Pissoort wijst erop dat het gaat om data die door de consument zelf aan het social net.werk zijn doorgegeven. Wie van telecom-bedrijf ver.andert, mag zijn gegevens ook overdragen, maar de transactionele gegevens vallen daar niet onder. “Als je van energieleverancier verandert, dan kan eventueel de overdraagbaarheid ook gelden voor de gegevens van de teller die je rechtstreeks aan de leverancier op zijn site hebt doorgegeven.”

Striktere verplichtingen voor bedrijven

Voor de bedrijven en organisaties die met data werken (en welk bedrijf doet dat tegenwoordig niet? Zelfs een sportclub heeft een adressenbestand ...) zijn een aantal verplichtingen strikter geworden. Een van die verplich.tingen komt voort uit het principe van accountability, verantwoordelijkheid. Dominique Pissoort: “Je moet bewijzen dat je de verordening naleeft en dat het effectief werkt. Er komt een resultaatsverbintenis. Die is zwaarder dan de middelenverbintenis die er nu is.”
Die accountability wordt ook doorgetrokken naar de verwerkers van de data, bijvoorbeeld een IT-bedrijf of een call-center. De overheden zijn op basis van de bestaande richtlijn enigszins coulant voor die verwerkers, maar in de toekomst worden ze verantwoordelijk voor hun eigen overtredingen met betrekking tot de verordening.
Bovendien is er het principe van solidariteit. Dat wil zeggen dat het data-subject dat schade geleden heeft door een foutieve verwerking begaan door verschil.lende partijen in het verwerkingsproces, eender welke van deze partijen aansprakelijk kan stellen. De verordening moedigt overigens aan om bij verwerking van gegevens van encryptie gebruik te maken om de bescherming van de data te vergroten.
Rond profilering zijn er ook enkele bepalingen. Direct marketeers kunnen op basis van segmentatie en analyse van profielen bepaalde consumentengroepen contacteren. De consument heeft daar een recht op verzet. Bij ‘echte’ profiling, waarbij er sprake is van ‘juridische effecten’ op het data-subject heeft de consument het recht op beroep. Dominique Pissoort geeft als voorbeeld het aanvragen van een verzekeringspo.lis. Als die op basis van een geautomatiseerde profile.ring afgewezen of duurder is dan bij bijvoorbeeld de buurman, dan mag de consument vragen om met een persoon (met machtigingsverantwoordelijkheid) de zaak nog eens door te spreken.
En wie zich niet aan de regels van de verordening houdt, kan sancties verwachten opgelegd door de rechtbank. “En de bedragen van de boetes zijn enorm,” zegt Dominique Pissoort. “Die boetes kun.nen gaan tot 20 miljoen euro of 4% van de wereld.wijde omzet van een bedrijf...”.

Wat met de Brexit?

De verordening is van toepassing op alle bedrijven in de ‘European Economic Area’. Dat zijn de 27 lidstaten van de Europese Unie én IJsland, Lichtenstein en Noorwegen. De regels zijn ook van toepassing als de verwerking van gegevens buiten die landen plaatsvindt. Ze zijn eveneens van toe.passing op organisaties die gevestigd zijn buiten de EU als de data verband houden met het aanbieden van goederen en diensten binnen de EU of als die organisaties het gedrag van personen in de EU monitoren via cookies of via een gelijkaardige technologie. Dat stelt meteen de vraag naar de Brexit. Zolang het Verenigd Koninkrijk deel blijft uitmaken van de European Economic Area (en dus eenzelfde status heeft als Noorwegen) gelden de nieuwe regels. Als het Verenigd Koninkrijk er helemaal uitstapt dan wordt het een probleem, zeker voor bedrijven die hun Europese databanken daar ondergebracht hebben.
DOMINIQUE PISSOORT - LEGAL ADVISOR
Dominique is de Legal Advisor bij de BDMA. Daar staat zij in voor de opvolging van de wetgeving m.b.t. direct marketing (privacy, reclame, marktpraktijken, do not call me,…). In dit kader is ze ook betrok.ken in de lobby bij de bevoegde overheden, samen met Ivan Vander.meersch. Als lid van de BDMA kan je haar contacteren voor een eerste advies voor al jouw juridische vragen gelinkt aan direct marketing.