De General Data Protection Regulation (GDPR), ofwel Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving die vanaf mei 2018 in heel de EU geldt. De EU probeert hiermee de privacy van burgers te beschermen.
In Europa is privacywetgeving altijd geregeld op nationaal niveau. Landen bepaalden hun eigen wetten als het dit onderwerp aanging. Dat zorgde voor verwarring en chaotische situaties, zeker voor organisaties die actief zijn in en/of zakendoen met meerdere EU-landen. Die situatie verandert per 25 mei 2018. Vanaf dat moment gaat de General Data Protection Regulation van kracht. Deze privacywetgeving geldt voor alle landen binnen de EU. Op die manier verzekert de EU zich ervan dat alle lidstaten privacy als een belangrijk, universeel recht beschouwen en alle EU-burgers eenzelfde mate van privacybescherming genieten.
Voor wie geldt de GDPR / AVG?
De GDPR is bedoeld voor de bescherming van burgers in de EU. Dat betekent allereerst dat natuurlijke personen en rechtspersonen die persoonsgegevens verwerken en in de EU zijn gevestigd zich moeten houden aan de nieuwe wetgeving. Maar ook organisaties buiten Europa krijgen met de GDPR te maken, wanneer zij persoonsgegevens van EU-burgers verwerken.
Wat verandert er met de komst van de GDPR / AVG?
De GDPR zorgt allereerst voor een nieuwe privacywetgeving in alle lidstaten van de EU. Een greep uit de inhoudelijke wijzigingen:
- De aanstelling van een Functionaris Gegevensbescherming (FG) ofwel Data Protection Officer (DPO) wordt in bepaalde situaties verplicht. Deze persoon is verantwoordelijk voor de verwerking van persoonsgegevens en de correcte uitvoering van de GDPR in de organisatie.
- Privacy by design / privacy by default. Het eerste begrip houdt in dat bij nieuwe projecten zorgvuldigheid voor de privacy van betrokkenen zijn verweven in ontwerpkeuzes en criteria. Het tweede begrip betekent dat privacy de norm moet zijn. Bij de introductie van een nieuw product of dienst moet standaard de meest strikte privacyinstellingen worden gehanteerd.
- Bij dataverwerkingen met een groot privacyrisico is het vooraf uitvoeren van een Privacy Impact Assessment (PIA), ofwel Data Protection Impact Assessment (DPIA) verplicht.
- De betrokkenen, over wie je de gegevens verwerkt, hebben meer rechten gekregen. Zo kunnen zij te allen tijde eisen de verwerking sommeren stop te zetten of te beperken. Zij moeten ze zonder problemen hun gegevens van de ene organisatie naar de andere kunnen overhevelen (dataportabiliteit).
- De verwerking van persoonsgegevens mag alleen plaatsvinden voor het afgesproken doel. Ook mogen niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk voor het beoogde doel. Zijn de persoonsgegevens niet meer nodig voor het beoogde doel, dan moeten deze worden verwijderd.
- Organisaties moeten zich niet alleen houden aan de nieuwe privacywetgeving, maar dit ook op ieder gevraagd moment kunnen aantonen. Dit noemen we het ‘accountability-principe’. Zij moeten hun privacybeleid en hun dataverwerkingen dan ook uitgebreid documenteren. Organisaties moeten kunnen aantonen wat voor informatie zij opslaan of verwerken, van wie deze data is, waar dit wordt opgeslagen en hoe dit is beveiligd.
Hoe wordt de GDPR / AVG gehandhaafd?
De Autoriteit Persoonsgegevens (AP) blijft in Nederland de handhavende instantie. Bij een (ernstig) datalek moet een organisatie dit melden aan de AP. Deze kijkt of er sprake is van nalatigheid. De AP kan bij aantoonbare nalatigheid een maximale boete opleggen van 20 miljoen euro of 4 procent van de omzet, afhankelijk van welke van deze twee het hoogste bedrag oplevert. Op internationaal niveau is de Europese Commissie het handhavende instituut.
Geldt de GDPR / AVG ook in Groot-Brittannië?
Wanneer Groot-Brittannië geen deel meer uitmaakt van de EU, willen de Britten toch de waarde van de nieuwe privacywetgeving erkennen en hebben ze besloten de GDPR onvoorwaardelijk over te nemen.
Is de GDPR / AVG niet vooral een IT-aangelegenheid?
Nee. Compliance met de GDPR is met name een zaak van het op orde brengen van processen in de organisatie. Natuurlijk kan IT daar zijn steentje aan bijdragen. Denk daarbij aan technische veiligheidsmaatregelen om persoonsgegevens te beschermen tegen hackers en cybercriminelen. Ook softwareoplossingen als YourSafetynet kunnen een belangrijke bijdrage leveren aan compliance. Maar voor het overgrote deel is de GDPR uiteindelijke een zaak voor de gehele organisatie.
Wat is de maatschappelijke achtergrond van de GDPR / AVG?
De afgelopen jaren is onze maatschappij in hoge mate gedigitaliseerd. We genereren meer data dan ooit. Een flink deel van die data is privacygevoelig, omdat ze te herleiden zijn naar personen. Die data is vaak in handen van organisaties. Zij bewaren en verwerken vaak een grote hoeveelheid persoonsgegevens. Dat neemt grote privacyrisico’s met zich mee. Privacygevoelige data kan bijvoorbeeld uitlekken en in handen komen van onbevoegden. De oude nationale privacywetgevingen zoals de Wbp (Wet bescherming persoonsgegevens, Nederland) en WVP (Wet Verwerking Persoonsgegevens, België) waren onvoldoende ingericht om een stevig antwoord te geven op deze nieuwe ontwikkelingen. De Europese Commissie heeft daarom besloten een nieuwe wetgeving te introduceren die organisaties in de EU verplicht om zorgvuldig om te gaan met persoonsgegevens.
Alle berichten