Per 28 mei 2018 geldt de algemene verordening gegevensbescherming in (oftewel AVG of GDPR) , een Europese wetgeving over de bescherming van persoonsgegevens. Omdat deze wet complex is hebben wij de belangrijkste punten voor je op een rijtje gezet. Heb je daarnaast nog hulp nodig om jouw organisatie of werkprocessen hierop aan te laten sluiten? Dan kan je met ons een afspraak maken voor een audit. Dan nemen we graag jouw vraagstukken door en bieden we je passende oplossingen op maat.
Dit zijn de pijlers:
Algemene wet voor de EU
Omdat de GDPR een Europese wetgeving is, geldt deze wet voor de gehele Europese Unie. Dit maakt administratie een stuk makkelijker voor internationale organisaties omdat de nationale instanties allemaal gecoördineerd worden door de EDPB (European Data Protection Board). Daarnaast geldt de wet voor alle bedrijven die persoonsgegevens verwerken van mensen uit de EU, ook wanneer deze niet gevestigd zijn in de EU.
Expliciete toestemming
De toestemming die gebruikers moeten geven moet specifiek en niet-dubbelzinnig zijn. Dit betekent dat het nu voor gebruikers duidelijk moet zijn waarvoor ze toestemming geven en dat het een bewuste handeling moet zijn. Ook moet er voor elke reden apart toestemming gevraagd worden. Controleer daarom waar bij jouw bedrijf toestemming voor gevraagd wordt en of deze duidelijk is, bijvoorbeeld voor cookies.
Eisen aan persoonsgegevens
Het belangrijkste is dat de gegevens op een transparante manier worden verwerkt. Daarnaast mogen ze alleen voor dat doel gebruikt worden waarvoor toestemming is gegeven. Deze gegevens moeten ook noodzakelijk zijn voor het doel. Als dit niet meer het geval is dan moeten de gegevens worden verwijderd of anoniem worden gemaakt. Controleer daarom of er voor jouw bedrijf gegevens worden opgeslagen en waarvoor deze gebruikt worden, bijvoorbeeld voor nieuwsbrieven.
Verantwoordelijkheid bij bedrijven
Het is de verantwoordelijkheid van jouw bedrijf om aan te tonen dat je je aan de wet houdt. Als je bijvoorbeeld niet kan aantonen dat de gegevens noodzakelijk zijn mag je deze niet gebruiken. Ook is jouw bedrijf verantwoordelijk voor de gegevens die doorgegeven worden aan derden.
Privacy by Design en privacy by Default
Privacy by Design en privacy by default zijn belangrijke onderdelen van de GDPR, die ervoor moeten zorgen dat privacy een fundamenteel onderdeel moet worden van het ontwerp en onderhoud van informatiesystemen. Door privacy by design moet jouw systeem zo ontworpen zijn dat de privacy een belangrijk onderdeel wordt van het systeem. Volgens privacy by default moeten de privacy instellingen automatisch op de hoogste status staan.
Rechten voor gebruikers
Gebruikers krijgen in de GDPR wet een aantal rechten:
- Recht om vergeten te worden
- Recht op dataportaliteit
- Recht om de verwerking te beperken
- Recht op bezwaar maken tegen verwerking
Zorg daarom dat je goed inzicht hebt in de processen van jouw bedrijf en welke rol privacy daarin speelt, zodat je rekening kunt houden met deze rechten.