Wanneer een KMO zaken doet met buitenlandse partners, moet ze er voor zorgen dat ook deze relaties de nieuwe Algemene Verordening Gegevensbescherming (AVG) naleven. Bijstand door een externe partner is soms aangewezen.
De nieuwe AVG biedt als voornaamste troef dat alle ondernemingen van de Europese Unie binnenkort op voet van gelijkheid staan wat betreft de verwerking van persoonsgegevens. Er kan nu voor een lidstaat geen sprake meer zijn van een strengere of soepelere houding tegenover het beheer van zulke gegevens. “Voortaan dekt het begrip ‘dataverwerkingsregister’ in alle landen dezelfde inhoud en gebeurt de aanstelling van een afgevaardigde gegevensbescherming (of DPO) in alle landen op dezelfde manier”, verklaart Bernard Persoons, CEO van BDE Group, gespecialiseerd in geïndividualiseerde begeleiding en advies in computeraangelegenheden.
Toch stelt Bernard Persoons vast dat talrijke KMO’s en vooral overheidsorganen (gemeenten, OCMW’s, provincies) nog nooit van de AVG hebben gehoord, terwijl de spelers in de sector al tot actie overgaan. “Het is enigszins verontrustend, maar nog niet dramatisch. We krijgen eerst een noodzakelijke fase van bewustwording. Pas nadien wordt het tijd voor de eerste stappen in de richting van een naleving van de AVG. In dit opzicht zijn wij voorstander van een interne sturing van het project, weliswaar met de hulp van een externe partner die dit vraagstuk onder de knie heeft en bijstand kan verlenen bij de eerste maatregelen.” De KMO heeft er dus alle baat bij om de AVG eerst onder een juridische invalshoek te benaderen. Een audit van de huidige situatie inzake datastromen kan nagaan of de manier van werken de nieuwe reglementering al naleeft en, zo niet, wat moet worden bijgestuurd.
Sommigen beschouwen de naleving van de AVG als een gigantisch project (naar verluidt zou een grote Belgische bank al twee en half jaar geleden met een AVG plan zijn gestart). Volgens Bernard Persoons is het echter vooral van belang dat de KMO aantoont dat zij al beslissingen heeft genomen in de richting van conformiteit. Dit kan bijvoorbeeld uit verslagen van vergaderingen blijken. “Maak vooral van dit project een te grijpen kans, eerder dan een kost”, zegt hij. “Met de hulp van een gespecialiseerde partner hoeft de KMO het wiel niet opnieuw uit te vinden en zal ze snel de eerste stappen in de richting van de naleving kunnen zetten. » Natuurlijk zullen een heleboel KMO’s niet klaar zijn tegen 25 mei 2018. “Er kunnen zeer zware sancties worden opgelegd, maar ze dienen wel rekening te houden met de evenredigheid. En de bedrijven moeten inzien dat het project haalbaar is.”
Het is trouwens (zachtjes gesteld) verre van zeker dat ook de controle-organen op de beslissende dag klaar zullen zijn. Elk land moet trouwens een gecertificeerd orgaan oprichten. Bij ons wordt dit de Gegevensbeschermingsautoriteit (de voormalige Privacycommissie). Deze zou echter (nog) niet over de nodige middelen beschikken om haar opdrachten te vervullen. Bovendien staan alle EU landen blijkbaar nog niet even ver, wat verstoringen zou kunnen veroorzaken in controle en repressie. Daarom kondigde de Commissie onlangs een budget van nagenoeg 4 miljoen euro aan voor de financiering van zulke nationale overheden.
Op 25 maart, dus binnen minder dan 100 dagen, treedt de Algemene Verordening Gegevensbescherming in voege. Voor de KMO’s ontwikkelde de Commissie een nieuw praktisch online tool waarmee ondernemingen vlotter de nieuwe regels van de AVG moeten kunnen naleven en er zelfs voordeel uit halen. Een overzicht van de principes, wettelijke beginselen, vaak gestelde vragen over de toepassing van de reglementering en de rechten van de burgers, informatie over verplichtingen en sancties enz. Informatie op https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/ Contact: J.-Ph. Mergen – tel.: 02 210 01 77 – jpm@beci.be.
|