Wat is de General Data Protection Regulation (GDPR)?

De General Data Protection Regulation (GDPR), ofwel Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving die vanaf mei 2018 in heel de EU geldt. De EU probeert hiermee de privacy van burgers te beschermen.

Lees meer

In Europa is privacywetgeving altijd geregeld op nationaal niveau. Landen bepaalden hun eigen wetten als het dit onderwerp aanging. Dat zorgde voor verwarring en chaotische situaties, zeker voor organisaties die actief zijn in en/of zakendoen met meerdere EU-landen. Die situatie verandert per 25 mei 2018. Vanaf dat moment gaat de General Data Protection Regulation van kracht. Deze privacywetgeving geldt voor alle landen binnen de EU. Op die manier verzekert de EU zich ervan dat alle lidstaten privacy als een belangrijk, universeel recht beschouwen en alle EU-burgers eenzelfde mate van privacybescherming genieten.

Voor wie geldt de GDPR / AVG?

De GDPR is bedoeld voor de bescherming van burgers in de EU. Dat betekent allereerst dat natuurlijke personen en rechtspersonen die persoonsgegevens verwerken en in de EU zijn gevestigd zich moeten houden aan de nieuwe wetgeving. Maar ook organisaties buiten Europa krijgen met de GDPR te maken, wanneer zij persoonsgegevens van EU-burgers verwerken.

Wat verandert er met de komst van de GDPR / AVG?

De GDPR zorgt allereerst voor een nieuwe privacywetgeving in alle lidstaten van de EU. Een greep uit de inhoudelijke wijzigingen:

  • De aanstelling van een Functionaris Gegevensbescherming (FG) ofwel Data Protection Officer (DPO) wordt in bepaalde situaties verplicht. Deze persoon is verantwoordelijk voor de verwerking van persoonsgegevens en de correcte uitvoering van de GDPR in de organisatie.
  • Privacy by design / privacy by default. Het eerste begrip houdt in dat bij nieuwe projecten zorgvuldigheid voor de privacy van betrokkenen zijn verweven in ontwerpkeuzes en criteria. Het tweede begrip betekent dat privacy de norm moet zijn. Bij de introductie van een nieuw product of dienst moet standaard de meest strikte privacyinstellingen worden gehanteerd.
  • Bij dataverwerkingen met een groot privacyrisico is het vooraf uitvoeren van een Privacy Impact Assessment (PIA), ofwel Data Protection Impact Assessment (DPIA) verplicht.
  • De betrokkenen, over wie je de gegevens verwerkt, hebben meer rechten gekregen. Zo kunnen zij te allen tijde eisen de verwerking sommeren stop te zetten of te beperken. Zij moeten ze zonder problemen hun gegevens van de ene organisatie naar de andere kunnen overhevelen (dataportabiliteit).
  • De verwerking van persoonsgegevens mag alleen plaatsvinden voor het afgesproken doel. Ook mogen niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk voor het beoogde doel. Zijn de persoonsgegevens niet meer nodig voor het beoogde doel, dan moeten deze worden verwijderd.
  • Organisaties moeten zich niet alleen houden aan de nieuwe privacywetgeving, maar dit ook op ieder gevraagd moment kunnen aantonen. Dit noemen we het ‘accountability-principe’. Zij moeten hun privacybeleid en hun dataverwerkingen dan ook uitgebreid documenteren. Organisaties moeten kunnen aantonen wat voor informatie zij opslaan of verwerken, van wie deze data is, waar dit wordt opgeslagen en hoe dit is beveiligd.

Hoe wordt de GDPR / AVG gehandhaafd?

De Autoriteit Persoonsgegevens (AP) blijft in Nederland de handhavende instantie. Bij een (ernstig) datalek moet een organisatie dit melden aan de AP. Deze kijkt of er sprake is van nalatigheid. De AP kan bij aantoonbare nalatigheid een maximale boete opleggen van 20 miljoen euro of 4 procent van de omzet, afhankelijk van welke van deze twee het hoogste bedrag oplevert. Op internationaal niveau is de Europese Commissie het handhavende instituut.

Geldt de GDPR / AVG ook in Groot-Brittannië?

Wanneer Groot-Brittannië geen deel meer uitmaakt van de EU, willen de Britten toch de waarde van de nieuwe privacywetgeving erkennen en hebben ze besloten de GDPR onvoorwaardelijk over te nemen.

Is de GDPR / AVG niet vooral een IT-aangelegenheid?

Nee. Compliance met de GDPR is met name een zaak van het op orde brengen van processen in de organisatie. Natuurlijk kan IT daar zijn steentje aan bijdragen. Denk daarbij aan technische veiligheidsmaatregelen om persoonsgegevens te beschermen tegen hackers en cybercriminelen. Ook softwareoplossingen als YourSafetynet kunnen een belangrijke bijdrage leveren aan compliance. Maar voor het overgrote deel is de GDPR uiteindelijke een zaak voor de gehele organisatie.

Wat is de maatschappelijke achtergrond van de GDPR / AVG?

De afgelopen jaren is onze maatschappij in hoge mate gedigitaliseerd. We genereren meer data dan ooit. Een flink deel van die data is privacygevoelig, omdat ze te herleiden zijn naar personen. Die data is vaak in handen van organisaties. Zij bewaren en verwerken vaak een grote hoeveelheid persoonsgegevens. Dat neemt grote privacyrisico’s met zich mee. Privacygevoelige data kan bijvoorbeeld uitlekken en in handen komen van onbevoegden. De oude nationale privacywetgevingen zoals de Wbp (Wet bescherming persoonsgegevens, Nederland) en WVP (Wet Verwerking Persoonsgegevens, België) waren onvoldoende ingericht om een stevig antwoord te geven op deze nieuwe ontwikkelingen. De Europese Commissie heeft daarom besloten een nieuwe wetgeving te introduceren die organisaties in de EU verplicht om zorgvuldig om te gaan met persoonsgegevens.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Lees meer
Wat is recht op vergetelheid?

Wat is recht op vergetelheid?

In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.

Wat is privacy by design?

Wat is privacy by design?

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. In het Nederlands wordt dit principe ook wel aangeduid met ‘Gegevensbescherming door ontwerp en door standaardinstellingen’.

YourSafetynet Q&A (YourSafetynet geeft antwoord)

De ontwikkelingen rondom dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen gaan razendsnel en er worden veel nieuwe termen geïntroduceerd. Onze Q&A geeft inzicht in deze nieuwe terminologieën.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.