GDPR

GDPR

General Data Protection Regulation

General Data Protection Regulation (GDPR) is een nieuwe verordening die de databeschermingsrichtlijn uit 1995 vervangt en beter aansluit op de huidige digitale wereld. In Nederland wordt dit de AVG (Algemene Verordening Gegevensbescherming) genoemd. In mei 2016 is de nieuwe AVG in werking getreden en organisaties hebben tot 25 mei 2018 de tijd om hun bedrijfsvoering hieromtrent in orde te maken.

Belangrijkste doel van de GDPR is om alle burgers van de EU te beschermen tegen privacy- en datalekken. Uiteraard zijn de belangrijkste principes van gegevensprivacy overeenkomstig met de vorige richtlijn, maar er zijn toch veel wijzigingen in de regelgeving die gevolgen hebben voor grote en kleine bedrijven.

Principes GDPR

De GDPR gaat uit van de volgende principes m.b.t. de verwerking van persoonsgegevens:

  • Wettigheid, billijkheid en transparantie: de persoon van wie gegevens worden verwerkt, is hiervan op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten.
  • Doelbeperking: de persoonsgegevens worden alleen gebruikt voor een welbepaald, toegestaan doel en mogen niet voor andere doeleinden gebruikt worden.
  • Gegevensminimalisatie: alleen noodzakelijke gegevens die verband houden met de toegestane doeleinden worden verzameld en bewaard.
  • Opslagbeperking: gegevens mogen niet langer dan nodig voor het gestelde doel bewaard worden.
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten zodanig verwerkt worden, dat ze beschermd zijn tegen toegang door onbevoegden, verlies, diefstal, of vernietiging.
  • De verantwoordelijke moet kunnen aantonen dat hij aan deze regels voldoet.

Belangrijkste veranderingen

De belangrijkste veranderingen die de GDPR (en dus ook de AVG) met zich meebrengt:

1. Versterking en uitbreiding van privacyrechten

Aangescherpte toestemmingsvoorwaarden: voor het verwerken van persoonsgegevens moet in duidelijke taal toestemming gevraagd worden. Dit moet van andere zaken onderscheiden zijn en de toestemming moet net zo makkelijk weer in te trekken zijn, als deze gegeven werd. Organisaties moeten kunnen bewijzen dat ze een geldige toestemming hebben.

Nieuwe privacyrechten die in de GDPR zijn opgenomen zijn het recht op vergetelheid en het recht op dataportabiliteit.

Recht op vergetelheid is het recht om gegevens te laten verwijderen en bestaat al, maar straks kan ook geëist worden dat de organisatie de verwijdering doorgeeft aan alle organisaties die deze gegevens hebben gekregen.

Recht op dataportabiliteit betekent dat mensen het recht krijgen om van de organisatie hun gegevens in een gestandaardiseerd formaat te ontvangen. Zo kunnen zij hun gegevens makkelijker doorsturen naar een andere leverancier van eenzelfde dienstsoort. Ze kunnen dan zelfs eisen dat hun persoonsgegevens direct worden doorgestuurd naar de nieuwe dienstverlener.

2. Meer verantwoordelijkheid voor organisaties

Voor bedrijven komt de nadruk veel meer te liggen op de verrantwoordingsplicht. Dit houdt in dat je moet kunnen aantonen de juiste organisatorische en technische maatregelen te hebben genomen om aan de eerder genoemde principes en andere regels uit de GDPR te kunnen voldoen. “Privacy by design” als onderdeel van een wettelijke eis vraagt om gegevensbescherming vanaf het moment dat systemen worden ontworpen.

Na 25 mei 2018 hoeven verwerkingen van persoonsgegevens niet meer gemeld te worden bij de Autoriteit Persoonsgegevens (AP). In plaats daarvan zullen er interne vereisten komen, voor het bijhouden van gegevens via bijvoorbeeld gedragsprotocollen.

Het kan wel zo zijn dat een organisatie met een hoog privacyrisico (hier publiceert de AP op termijn een lijst van) vanaf dan verplicht is een “data protection impact assessment” (DPIA) uit te voeren.

Ook kan het zo zijn dat een organisatie verplicht wordt om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit geldt in eerste instantie voor overheden en publieke organisaties, ten tweede voor organisaties die op grote schaal individuen volgen, bijvoorbeeld voor profilering en ten derde voor organisaties die als kernactiviteit bijzondere persoonsgegevens verwerken.

Met de GDPR komt er een meldplicht wanneer een datalek tot een risico voor de rechten en vrijheden van personen leidt. Binnen 72 uur moet dit dan bij de AP en de getroffen persoon gemeld zijn. Ook de registratie-eisen bij datalekken worden aangescherpt.

3. Dezelfde bevoegdheden voor alle Europese toezichthouders middels sancties

Allereerst gaat de GDPR uit van een verhoogde territoriale reikwijdte: de nieuwe regelgeving is op alle bedrijven van toepassing die de persoonsgegevens van betrokkenen in de Unie verwerken, ongeacht de locatie van het bedrijf of de plek van verwerking van de gegevens. Andersom zijn de regels ook van toepassing op niet-EU-bedrijven die wel diensten of goederen aan EU-burgers aanbieden, of hun persoonsgegevens verwerken.

In het geval van materiële of immateriële schade, als gevolg van het niet opvolgen van de verordening, is er recht op een schadevergoeding door de verwerker of de voor de verwerking verantwoordelijke. Er kunnen boetes opgelegd worden tot wel 4 % van de jaarlijkse wereldwijde omzet, of maximaal 20 miljoen euro. Voor het bepalen van de hoogte van de sanctie wordt gekeken naar onder andere de aard, de ernst en de duur van de inbreuk, maar ook het aantal getroffen personen, de mate van opzettelijkheid en het al dan niet tijdig melden van de inbreuk.

GDPR in de praktijk

toetsenbord

De nieuwe regelgeving omtrent privacy heeft veel gevolgen voor marketingactiviteiten. Zo is er bijvoorbeeld vanaf mei 2018 bij mailingacties voor elk doel een specifieke opt-in (expliciete toestemming voor het ontvangen van mail) nodig. Hiervoor zullen bedrijven hun doelgroepen en mailflows dus moeten specificeren. Vanwege de fraudegevoeligheid vragen veel organisaties hun toestemming via “double-opt-in”. Dan moet naast het invullen van een mailadres bijvoorbeeld ook nog een bevestigingslink worden aangeklikt om toestemming te geven. De opt-in moet gescheiden van andere voorwaarden zijn en het wordt verboden de checkbox automatisch aan te vinken. In een database moeten de opt- ins goed bijgehouden worden, om de gegeven toestemming te kunnen aantonen en contacten moeten zich ook zonder veel moeite uit kunnen schrijven.

Veel websites maken gebruik van cookies en volgen het klikgedrag van hun bezoekers. Als op een website naar personen herleidbare tracking en tracing wordt geregistreerd, door bijvoorbeeld het opslaan van het IP-adres, moet hier toestemming voor gevraagd worden, of moeten de verzamelde gegevens worden geanonimiseerd.

Nederlandse organisaties zijn druk bezig hun privacystatements te herzien en nieuwe verwerkersovereenkomsten op te stellen. Daarnaast is het echter belangrijk om te denken in kansen. Niet alleen de regelgeving, maar ook mensen zelf worden steeds privacy-bewuster. Ze zien data-uitwisseling niet per definitie negatief, maar willen wel begrijpen wat hun voordeel hierbij is. Hier liggen dus mogelijkheden voor bedrijven om naast het uitvoeren van regelgeving ook in te spelen op de behoeften van de consument.

Openheid en transparantie over informatieverwerking leidt tot een belangrijk doel: vertrouwen. Ga je zorgvuldig om met data en ben je hierover transparant, zorgt dit voor meer vertrouwen, wat in de huidige digitale economie een groot voordeel kan opleveren. Het gebruik van klantenportals zou bijvoorbeeld een goede manier kunnen zijn om personen de mogelijkheid te bieden hun gegevens in te zien, voorkeuren aan te geven en gegevens te wijzigen en/of te verwijderen.

Voorbereiden in 10 stappen

De Autoriteit persoonsgegevens heeft 10 stappen beschreven om voorbereid te zijn op de AVG:

  1. Bewustwording: laat relevante mensen binnen de organisatie zich op tijd in de regelgeving verdiepen en bepalen welke aanpassingen nodig zijn.
  2. Rechten van betrokkenen: zorg ervoor te kunnen voldoen aan de privacywetten (o.a. recht op inzage, correctie, verwijdering, dataportabiliteit).
  3. Overzicht verwerkingen: houd een register bij van persoonsgegevens die je verwerkt, en met welk doel je dit doet, waar deze vandaan komen en met wie je ze deelt. Verplicht voor bedrijven met meer dan 250 werknemers, of die privacy gevoelige informatie verwerken.
  4. Data protection impact assessment (DPIA): schat alvast in of dit op de organisatie van toepassing is.
  5. Privacy by design & privacy by default: zorg er bij het ontwerpen van diensten en producten voor dat de persoonsgegevens worden beschermd en er niet meer verzameld wordt, dan nodig is.
  6. Functionaris voor de gegevensbescherming: bekijk alvast of dit voor de organisatie geldt.
  7. Meldplicht datalekken: blijft grotendeels gelijk en de guidelines zijn nog niet definitief. Houd deze in de gaten.
  8. Bewerkersovereenkomsten: gegevensverwerking uitbesteed? Controleer dan of de contracten voldoen aan de eisen van de AVG.
  9. Leidende toezichthouder: bepaal indien er vestigingen, of gegevensverwerkingen zijn in meerdere lidstaten onder welke privacytoezichthouder de organisatie valt.
  10. Toestemming: nieuw is dat de organisatie moet kunnen aantonen dat er sprake is van geldige toestemming en dat het intrekken ervan net zo makkelijk moet zijn als het geven.

visual3

Conclusie

In het huidige digitale tijdperk is data een zeer waardevol goed. Tegelijkertijd hechten mens en maatschappij steeds meer waarde aan bescherming van privacy. De GDPR stelt bedrijven voor een flinke uitdaging en legt veel regels op om de privacyrechten rondom al deze data te waarborgen, maar biedt ook zeker kansen. Mei 2018 komt al snel dichterbij en het zo snel mogelijk treffen van de juiste voorbereidingen is van groot belang.

Geïnteresseerd in GDPR? Vraag dan advies aan.

Submit to FacebookSubmit to TwitterSubmit to LinkedIn

Laatste blogposts

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14