GDPR: wat is het en wat betekent het voor u?

Wat houdt de GDPR in?

Eenvoudig gesteld is de GDPR nieuwe privacywetgeving. De GDPR versterkt de rechten van inwoners van de EU om te bepalen hoe met hun persoonsgegevens wordt omgegaan. Het zorgt dat bedrijven en instellingen transparant moeten zijn welke data zij verzamelen, hoe zij omgaan met data en waarvoor ze deze data gebruiken. De GDPR vereist dat bedrijven veiligheidsmaatregelen nemen en processen en procedures opstellen om data goed te beschermen.

Samengevat komt de GDPR op het volgende neer:

• Verbetert privacyrechten van burgers
• Vergroot verplichtingen voor bescherming van data
• Verplicht rapportage van datalekken
• Verhoogt boetes bij non-compliance

Een van de belangrijkste doelen van de GDPR is om de privacyrechten van burgers te verbeteren.

Is de GDPR ook van toepassing op mijn organisatie?

De GDPR is breder van toepassing dan je misschien op het eerste gezicht zou denken. Excuses voor de lange zin, maar de wetgeving legt nieuwe regels op aan bedrijven, overheidsinstellingen, non-profit instellingen en andere organisaties die gevestigd zijn in de EU, die producten en diensten aan mensen in de EU aanbieden, die data verzamelen en analyseren die verbonden is aan inwoners van de EU (ook als deze data buiten de EU wordt opgeslagen!) of die het gedrag van EU-inwoners in de gaten houden. De GDPR is van toepassing op organisaties van alle mogelijke groottes (dus ook eenmanszaken) en in alle takken van industrie.

Wanneer gaat de GDPR in?

De GDPR wordt van kracht op 25 mei 2018. In Nederland vervangt de GDPR vanaf dat moment de huidige Wet Bescherming Persoonsgegevens (Wbp). Formeel is de GDPR al ingegaan in april 2016, maar omdat veel organisaties flink wat moeten doen om aan de wetgeving te kunnen voldoen, is er een overgangsperiode van 2 jaar ingesteld.

De GDPR wordt op 28 mei 2018 van kracht.

Wat zijn de belangrijkste onderdelen van de GDPR?

De GDPR is gebaseerd op zes basiselementen:

• Transparantie over verwerking en gebruik van persoonsgegevens.
• Beperken van het verwerken van persoonlijke gegevens tot specifieke, toegestane doeleinden.
• Beperken van het verzamelen en opslaan van persoonlijke gegevens tot de beoogde doeleinden.
• Personen in staat stellen om hun persoonsgegevens te (laten) corrigeren of verwijderen.
• Beperken van de opslagduur van persoonsgegevens tot slechts zo lang als nodig is voor de beoogde doeleinden.
• Zorgen dat persoonsgegevens beschermd zijn door gebruik te maken van geschikte beveiligingsmaatregelen.

Klinkt dit nogal theoretisch? Hier enkele concrete voorbeelden

1.
Volgens de GDPR hebben personen het recht om te weten of een organisatie hun persoonsgegevens verwerkt en te begrijpen waarom dit gebeurt. Een persoon heeft vervolgens het recht om zijn gegevens te laten verwijderen of corrigeren, om te vragen te stoppen met het verwerken ervan, om bezwaar te maken tegen direct marketing en om zijn toestemming in te trekken voor bepaalde manieren van gebruiken van zijn gegevens.

2.
De GDPR eist van organisaties dat ze persoonsgegevens beschermen op een manier die past bij de gevoeligheid van deze gegevens. Bijvoorbeeld medische gegevens zijn gevoeliger dan een e-mailadres voor marketingdoeleinden en moeten dus op een andere manier worden beschermd. Wanneer er een datalek wordt geconstateerd, moet de “gegevensverwerker” (een belangrijk begrip in de GDPR) in de meeste gevallen hiervan een melding doen bij (in Nederland) de Autoriteit Persoonsgegevens en wel binnen 72 uur. Wanneer het lek een hoog risico inhoudt voor de betrokken personen, is de organisatie tevens verplicht om alle betrokkenen individueel op de hoogte te stellen.

Medische gegevens zijn gevoeliger dan een e-mailadres voor marketingdoeleinden en moeten dus op een andere manier worden beschermd.

3.
Om persoonsgegevens te mogen verwerken, moet er een gegronde reden zijn. Er gelden strenge eisen waaraan de door een persoon gegeven toestemming voor verwerking van zijn gegevens moet voldoen, zeker als het om kinderen gaat.

4.
Organisaties zijn verplicht om zogenaamde “data protection impact assessments” (DPIA, in de Nederlandse AVG zo kort mogelijk vertaald als gegevensbeschermingseffectbeoordeling) uit te voeren om de privacyrisico’s van projecten te beoordelen en zonodig passende maatregelen te nemen om deze risico’s te verkleinen. Er dient een dossier te worden aangelegd en bijgehouden van de verwerkingsactiviteiten, toestemmingen om gegevens te verwerken en om de naleving van de GDPR mee aan te tonen.

5.
Heel belangrijk: naleving van de GDPR (“compliance” genoemd) is niet een eenmalige actie die je kunt uitvoeren waarna je klaar bent. Naleving van de GDPR is een voortdurend proces dat altijd aandacht zal blijven vragen. Het niet voldoen aan de GDPR kan leiden tot forse boetes. Organisaties zullen aan de slag moeten met de GDPR en processen en procedures in het leven moeten roepen om te zorgen dat ze voldoen en blijven voldoen aan de GDPR.

6.
Een veel gemaakte vergissing is het voldoen aan de GDPR te beschouwen als een ICT-project. Dat is het namelijk niet; de GDPR stelt allerlei eisen die losstaan van de gebruikte ICT-systemen. Het nemen van maatregelen om ICT-systemen te laten voldoen aan de GDPR is zeker van groot belang, maar het houdt niet daarmee niet op.

Een veel gemaakte vergissing is het voldoen aan de GDPR te beschouwen als een ICT-project.

Aan de slag!

Veel bedrijven en organisaties vinden het erg lastig om concreet aan de slag te gaan met de GDPR. In een volgende blog gaan we kijken hoe we, aan de hand van een stappenplan, praktisch aan de slag kunnen met de GDPR. Hou onze website en social media kanalen dus in de gaten.