De GDPR en de Privacywet hebben beide betrekking op de verwerking van persoonsgegevens. Op termijn komt de Europese ‘wet’ die de GDPR is, de verouderde Belgische wet te vervangen.
Hieronder vind je de 5 belangrijkste verschillen tussen de beide:
1. Het toepassingsgebied van de GDPR is veel ruimer
Op territoriaal vlak geldt de GDPR als verordening binnen de hele Europese Unie (hierna ‘EU’). Bovendien kunnen zelfs niet Europese bedrijven onder het toepassingsgebied vallen indien zij producten of diensten aanbieden aan Europese onderdanen. Ook inhoudelijk is dezelfde tekst (inclusief de vertaling in de 24 talen van de EU) de enige geldende regel voor de hele EU. Er is nog amper marge voor de lidstaten om af te wijken van de Europese norm.
De Privacywet daarentegen is zoals de naam het zelf zegt een wet, en geldt uitsluitend in België. De Privacywet is wel het gevolg van een Europese Richtlijn van 1995, die ervoor zorgt dat de grote lijnen van gegevensbeschermingswetgeving binnen de EU inhoudelijk hetzelfde zijn. Maar de verschillen waar toch groot genoeg om de Europese wetgever ertoe aan te zetten in te grijpen met het oog op het vrij verkeer van gegevens binnen de EU.
2. Hogere sancties
De toezichthoudende autoriteit (in België de Privacy Commissie) is onder de Privacywet maar een papieren tijger. Middels de GDPR zal zij administratieve monsterboetes tot € 20.000.000 of 4% van de wereldwijde jaaromzet kunnen opleggen. Daarnaast verkrijgt zij nu ook meer middelen om effectief situaties te onderzoeken en corrigeren, zoals de mogelijkheid tot onderzoek ter plaatse.
Betrokkenen kunnen 25 mei 2018 ook eenvoudiger klacht neerleggen tegen de verwerkingsverantwoordelijke en verwerker, zo kan dat vanaf dan ook via een soort ‘class action’.
3. Gegevenslekken
Tenzij je een telecomoperator bent bestaat er in België onder het huidige regime geen verplichting om gegevenslekken te melden aan de Privacy Commissie. Dit verandert fundamenteel met de komst van de GDPR: bij een gegevenslek moet je dit binnen de 72 uur melden en in sommige gevallen moet je de betrokkenen zelf ook inlichten dat er een lek van hun gegevens heeft plaatsgevonden.
4. De GDPR viseert nu ook loutere leveranciers (verwerkers)
Waar de Privacywet enkel verplichtingen oplegt aan verwerkingsverantwoordelijken, worden nu ook loutere verwerkers geviseerd. Verzamelt bijvoorbeeld een bedrijf jouw contactgegevens jou nieuwsbrieven te versturen, gebeurt het vaak dat het bedrijf de eigenlijke verzending hiervan uitbesteedt aan een marketing of communicatiebureau. Dit bureau zal onder de GDPR zich ook aan bepaalde regels moeten houden, bv. het garanderen van informatieveiligheid.
5. Het aanstellen van een DPO
De GDPR roept een nieuwe functie in het leven, namelijk die van Data Protection Officer (‘DPO’, of in het Nederlands iets wat onhandig functionaris gegevensbescherming). Dit is een persoon die verantwoordelijk zal zijn voor de compliance met de GDPR binnen een bepaald bedrijf of overheid. Wil je weten of je een verplicht een DPO moet aanstellen? Maak gebruik van onze handige DPO-checker.