GDPR: bent u er klaar voor?

In mei 2018 gaat er in Europa een nieuwe algemene privacywetgeving van kracht: de GDPR (General Data Protection Regulation). In Nederland noemen we dit ook wel de AVG (Algemene Verordening Gegevensbescherming). Deze wetgeving vervangt in een keer alle nationale wetten, zoals “onze” Wet bescherming persoonsgegevens (Wbp). Wat betekent dat en hoe bereidt u uw organisatie voor op die verandering?

Lees Blog

Wat is GDPR?

Op dit moment kennen we in Europa de Richtlijn bescherming persoonsgegevens (95/46/EG). Deze is op zijn zachtst gezegd aan vervanging toe; de richtlijn stamt uit 1995. Dat is in het digitale tijdperk een eeuwigheid. Op die richtlijn is ook de Wet bescherming persoonsgegevens (Nederland) en Algemene Privacywetgeving (België) gebaseerd. Alle Europese lidstaten hebben zo hun eigen privacywetgeving, gebaseerd op deze richtlijn.

De GDPR maakt die richtlijn en alle afgeleide nationale wetgeving in een klap overbodig. Deze GDPR is bindend voor alle Europese lidstaten en vooral veel strenger en minder vrijblijvend geformuleerd als de oude richtlijn. Dat wordt door velen gezien als een welkome verbetering: met de GDPR neemt Europa de privacy van zijn burgers zeer serieus.

General Data Protection Regulation - GDPR

Belangrijkste wijzigingen

De nieuwe Europese wetgeving brengt een aantal opvallende wijzigingen met zich mee. De belangrijkste luiden als volgt:

Wijziging 1

Veiligheidheidsfunctionaris is verplicht

De GDPR verplicht organisaties tot het aanstellen van een veiligheidsfunctionaris (in het Engels: data protection officer). Dat is een persoon die verantwoordelijk is voor de veiligheid en integriteit van privacygevoelige gegevens.

Wijziging 2

Rechtmatig, behoorlijk en transparant

Volgens artikel 5 van de GDPR moeten persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene ‘rechtmatig, behoorlijk en transparant’ is. Dat betekent dat deze wetgeving expliciet verbiedt dat persoonsgegevens ineens voor andere doeleinden worden gebruikt dan afgesproken met de betrokkene.

Ook moet de organisatie transparant zijn over de manier waarop persoonsgegevens verwerkt worden. Bovendien mogen organisaties niet meer gegevens van de betrokkenen bewaren dan zij nodig hebben voor het beoogde doel. Zo zijn bijvoorbeeld zaken als geloofsovertuiging van de student op geen enkele manier nuttig voor bijvoorbeeld een universiteit en mag die dan ook deze data niet bewaren.

Wijziging 3

Eén toezichthouder

Multinationals hebben nu nog te maken met toezichthouders van de landen waarin zij opereren. Dat is vervelend, want die toezichthouders zitten lang niet altijd op een lijn. Met de komst van de GDPR verandert dat. Organisaties hebben vanaf dan alleen nog te maken met de toezichthouder van het land waar de hoofdvestiging staat.

Wijziging 4

Registerplicht

De GDPR stelt een registerplicht in voor alle organisaties. Dat betekent dat de belangrijkste eigenschappen van verwerkingen van persoonsgegevens op een of andere manier moeten worden vastgelegd. In een register moeten organisaties ook hun technische en organisatorische beveiligingsmaatregelen uit de doeken doen. Met de registerplicht vervalt de huidige plicht om verwerking van privacygevoelige data te melden bij de Autoriteit Persoonsgegevens.

Wijziging 5

Nog hogere boetes

Momenteel bedraagt de maximale boete die de Autoriteit Persoonsgegevens kan opleggen 825.000 euro of 10% van de omzet. Dat is al hoog, en kan voor veel organisaties een faillissement betekenen. Echter, de GDPR doet daar nog een schepje bovenop. De maximale boete bedraagt in ernstige gevallen vanaf mei 2018 maar liefst 20 miljoen euro of vier procent van de omzet. Een duizelingwekkend bedrag.

Wijziging 6

Verplichte privacy assessment

Organisaties die persoonsgegevens verwerken, moeten zichzelf aan een assessment onderwerpen. In zo’n assessment staan bijvoorbeeld de risico’s die gegevensverwerking met zich meebrengen, maar ook eventuele beveiligingsmaatregelen die genomen moeten worden. Van de resultaten van het assessment moet de organisatie een rapport opstellen.

Wijziging 7

Uitgebreidere rechten voor betrokkenen

Onder de GDPR hebben de betrokkenen meer rechten dan voorheen. Zo hebben ze het recht op ‘vergetelheid’ en recht op rectificatie bij onjuiste gegevens. Ook kan een betrokkene recht hebben op het verwijderen van zijn of haar gegevens. Is dat het geval, dan moet de organisatie zo snel mogelijk de persoonsdata wissen. Ook kunnen ze onder sommige omstandigheden recht hebben op uitreiking van hun gegevens in een algemeen leesbaar standaardformaat. Dat maakt voor hen bijvoorbeeld de overstap naar een concurrerende dienstverlener gemakkelijker.

Voorbereiden

De GDPR brengt dus de nodige wijzigingen met zich mee die vaak van invloed zijn op de dagelijkse bedrijfsvoering. Hoe bereid je je als organisatie hierop voor? Een aantal handvatten.

Handvat 1

Analyseer wat moet veranderen

De komst van de GDPR heeft voor vrijwel alle organisaties die persoonsgegevens verwerken gevolgen. Welke dat precies zijn, hangt af van het huidige privacy- en ICT-gebruiksbeleid. Loop de huidige procedures na en pas deze aan waar nodig. Op de website van de Autoriteit Persoonsgegevens vindt u uitgebreide informatie over de aankomende veranderingen. Neem deze zorgvuldig door en toets deze aan het huidige beleid.

Handvat 2

Stel een privacy- en ICT-gebruiksbeleid in of pas deze aan

Veel organisaties voeren helemaal geen actief privacy- en ICT-gebruiksbeleid. Dit is een goed moment om daar wat aan te veranderen. Onze oplossing YourSafetynet neemt daarbij veel werk uit handen. Via een eenvoudige wizard wordt u stapsgewijs door alle benodigde organisatorische maatregelen geloodst. Bovendien bevat de oplossing diverse voorzieningen voor monitoring en handhaving van het beleid.

Wie zijn privacy- en ICT-gebruiksbeleid reeds heeft opgesteld met YourSafetynet ontvangt de vernieuwde procedures en beleidsdocumenten automatisch via updates.

Handvat 3

Stel een veiligheidsfunctionaris aan

Deze organisatorische maatregel is nodig om te voldoen aan de GDPR. Daar kun je het beste tijdig mee beginnen, zodat deze persoon zich optimaal kan voorbereiden op zijn of haar nieuwe functie en optimaal de functie uitoefent tegen de tijd dat de wet actief wordt.

Handvat 4

Verwijder ‘overbodige’ data

Data die je niet hebt, kun je ook niet lekken. Bovendien verbiedt de GDPR het bezit en verwerking van data die niet relevant zijn voor de dienstverlening. Ga dus de datasets in je organisatie na op overbodige, niet-relevante gegevens en verwijder deze.

Handvat 5

Vraag ons om hulp

Komt u er niet uit, of heeft u vragen over de komende wetswijzigingen? Onze juristen kunnen u van passend advies voorzien. Neem contact op via het contactformulier.

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.