TOPIC Verduidelijkingen van de BAM1 zal het voortaan verplicht zijn om een afgevaardigde gegevensbescherming aan te stellen en bovendien een impactanalyse te voeren om na te gaan of het initiatief van de onderneming als redelijk kan worden beschouwd en/of de procedures geen overdreven risico inhouden. De Franse CNIL biedt een hulpmiddel voor een dergelijke impactanalyse, op zich een vrij ingewikkelde en tijdrovende aangelegenheid. Naleving Het niet-naleven van de AVG gaat met bijzonder strenge sancties gepaard: boetes tot 20 miljoen euro of 4% van de integrale jaaromzet van de onderneming (of van de wereldgroep waar ze deel van uitmaakt) als dit bedrag hoger ligt. Beslissingen over zulke sancties worden de bevoegdheid van een Gegevensbeschermingsautoriteit (de voormalige Privacycommissie), en niet langer van de procureur des Konings, wat het aantal opgelegde sancties zal verhogen en de procedures zal versnellen. Bovendien zal de onderneming eerst worden verplicht de boete te betalen voordat ze hiertegen in beroep kan gaan. Wat staat de onderneming te wachten die (nog) niet conform zou zijn? “Waarschijnlijk zullen niet alle ondernemingen tijdig klaar zijn”, merkt Fanny Coton. “In dat geval is het belangrijk te kunnen bewijzen dat er toch al maatregelen zijn getroffen. Omdat steeds meer consumenten gevoelig zijn voor de bescherming van hun persoonlijke gegevens, zullen velen geneigd zijn om klacht in te dienen, met als gevolg een controle door de Gegevensbeschermingsautoriteit.” De AVG vereist dus een hervorming van alle databanken die de onderneming exploiteert, met een analyse van de manier waarop de data werden verkregen en daarna de uitdrukkelijke vraag aan de consumenten om hun toestemming te geven, voor zover dit nog niet is gebeurd. Nadien zal de databank moeten worden gezuiverd door het uitwissen van alle gegevens die niet uitdrukkelijk werden toegelaten. Jean-François Henrotte, vennoot bij het advocatenkantoor Lexing Belgium, beseft dat de inspanningen om te voldoen aan de voorschriften een financiële impact zullen hebben (ook omdat er weinig aut omatische hulpmiddelen bestaan om databanken te zuiveren). Maar er is meer: “Wanneer een consument een niet conforme mail ontvangt, schaadt de afzender zijn eigen imago. Bovendien is de Jean-François Henrotte Ter versterking van de fundamentele rechten van de burger wordt de aansprakelijkheid van de verantwoordelijke voor dataverwerking (de huidige regelgeving) nu uitgebreid tot de onderaannemer die in opdracht van deze verantwoordelijke optreedt. Met deze ingrijpende verandering legt de AVG, voor het eerst op EU-niveau, directe verplichtingen op aan de onderaannemer, ongeacht of deze nu een lokale leverancier is of een cloud computing dienstverlener. Verder mogen de verantwoordelijken voor dataverwerking slechts onderaannemers aanstellen die voldoende waarborgen voorleggen voor de uitvoering van de adequate technische en organisatorische maatregelen. Dit om te garanderen dat de verwerking conform de richtlijnen van de AVG verloopt. Onderaannemers zijn bovendien verplicht om de persoonlijke data te verwerken volgens de richtlijnen van de verantwoordelijke voor dataverwerking. Ze moeten daarnaast aangepaste veiligheidsmaatregelen voorzien die zij in functie van verscheidene factoren zullen moeten evalueren. Zo bijvoorbeeld de gevoeligheid van de data, het risico voor de veiligheid van de betrokken personen, de kosten die hiermee gepaard gaan en de aard van de verwerking. Zo nodig dienen regelmatige tests de efficiëntie van veiligheidsmaatregelen te controleren. En dit alles dient in contracten te worden vastgelegd. En ten slotte mogen de bij een dataverwerking betrokken personen rechtstreeks opkomen voor hun rechten, ook tegen de onderaannemers. Het nieuwe stelsel voorziet trouwens sancties. AVG de gelegenheid om alle bestanden in orde te brengen en met een schone lei te herbeginnen, voor een clientèle die echt belangstelling vertoont.” Omdat iedere onderneming wordt verplicht de AVG na te leven, geldt de overgang als een kans om de consumenten efficiënter te benaderen, het imago op te poetsen en procedures in te stellen voor een betere productiviteit. ● Verdere stappen De AVG versterkt niet alleen de bestaande privacyprincipes maar introduceert ook een reeks «operationele» maatregelen die een zeer belangrijke impact kunnen hebben op uw marketingactiviteiten. Om u hierop voor te bereiden biedt Beci een halve dag training aan. Wanneer? Op 27 maart, van 13u30 tot 17u. Waar? Bij Beci, Louizalaan 500, 1050 Brussel Informatie en inschrijvingen: Emilie Lessire +32 2 643 78 11 – ele@beci.be www.500.be 42 BECI - Brussel metropool - maart 2018 1 Belgian Association of Marketing
45 Online Touch Home