Daniël runt een transportbedrijf. Zijn klantengegevens zijn opgeslagen in een digitale databank. Daarnaast heeft hij recent ook een software aangekocht die hem toelaat zijn chauffeurs op elk moment te volgen en te controleren. Met het oog op de modernisering van zijn bedrijf overweegt hij bovendien om klanten rechtstreeks te laten inloggen en communiceren op een online platform. Na de recente cyber-aanvallen die in het nieuws verschenen, vraagt hij zich nu af wat zijn wettelijke verplichtingen en risico’s zijn op vlak van privacy en persoonsgegevens.

België kent een vrij strenge wetgeving inzake de bescherming van persoonsgegevens (alle gegevens die herleidbaar zijn tot een individuele persoon) en de privacy van werknemers. Deze regelgeving wordt nog strenger vanaf 25 mei 2018, wanneer de Algemene Verordening Gegevensbescherming van toepassing wordt in de gehele Europese Unie.

Daniël zal een aantal maatregelen moeten nemen om aan deze wetgeving te voldoen: het opstellen van een uitgebreid privacybeleid, het aanstellen van een Functionaris voor Gegevensbescherming, het bijhouden van een verwerkingsregister, het afsluiten van verwerkingscontracten met zijn IT dienstverleners, het passend beveiligen van zijn bestanden en databanken met persoonsgegevens, enz.

De niet-naleving van deze strenge wettelijke vereisten voor de bescherming van persoonsgegevens kan immers leiden tot administratieve boetes tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet van het bedrijf van Daniël. Ook bij een hacking aanval riskeert Daniël een boete, indien hij zijn IT-systemen niet voldoende beveiligd heeft.