Wat u over GDPR moet weten

 

GDPR-wetgeving: de belangrijkste veranderingen voor uw organisatie

Op 25 mei 2018 gaat de nieuwe General Data Protection Regulation (GDPR) van kracht (AVG in het Nederlands). Deze wetgeving geeft consumenten meer controle over persoonlijke data, zorgt voor meer transparantie rondom het gebruik hiervan en stelt hoge eisen aan beveiliging. Deze wet geldt voor alle bedrijven die werkzaam zijn binnen de EU.

GDPR GAAT DE REGELS VERANDEREN

De General Data Protection Regulation (GDPR) wordt een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) per 2018 zal vervangen. Het doel van GDPR is om de privacy en integriteit van persoonsgegevens van consumenten beter te beveiligen. De verantwoordelijkheid voor het waarborgen van die privacy is bij de bedrijven neergelegd. Is er sprake van een data-lek, dan moet een organisatie in staat zijn dit binnen 72 uur aan de autoriteiten en mogelijk getroffen klanten te melden. Het risico van het niet naleven van de regels is een boete tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
In de nieuwe verordening is de definitie van persoonsgegevens veranderd naar ‘alle gegevens die de identificatie van een persoon indirect of direct mogelijk maken’. Deze definitie is erg breed, omdat het alle informatie betreft over ‘een identificeerbaar natuurlijk persoon’. Denk hierbij aan een naam, locatiegegevens, economische, sociale of culturele identiteit. De meest gebruikte definitie van deze persoonsgegevens is ‘persoonlijke data’.
Alle data die verwerkt wordt, moet vooraf met de betrokkenen op een heldere en transparante wijze worden gecommuniceerd. Dit betekent dat er heel duidelijk vooraf moet worden aangegeven hoe en waarom deze data verwerkt zal worden, met welk doel en wat de vervolgactie is.

VOOR WIE IS DE WET ONTWIKKELD?

De wetgeving geldt voor alle bedrijven die persoonsgegevens verwerken van EU-burgers. De wet is ontwikkeld omdat de EU een éénduidige en veilige Europese digitale omgeving wil creëren. Zodra een bedrijf persoonsgegevens verwerkt moeten deze personen toegang hebben tot de eigen data. Fouten in eigen data moeten eenvoudig aangepast kunnen worden. Tevens moet data verwijderd en geëxporteerd kunnen worden.

 

GDPR vs huidige wetgeving

De oude wetgeving voldeed niet meer aan de steeds veranderende wereld van nu. Hieronder staat een beschrijving van een aantal significante nieuwe eisen.

Informeren van de toezichthoudende autoriteit

U bent verplicht om binnen 72 uur na het vaststellen van een data-lek de toezichthoudende autoriteit op de hoogte te stellen.

Expliciete toestemming

Het GDPR vereist dat u op het moment dat u persoonsgegevens verzamelt, uitdrukkelijke toestemming van de betrokkene moet krijgen. Organisaties moeten specifieke informatie aanbieden over welke gegevens worden verzameld, hoe de gegevens worden opgeslagen en verwerkt en ze moeten een duidelijke taal gebruiken. In deze context zal een “opt-in” niet aan de regeling voldoen. Bovendien moet het even simpel zijn om de toestemming te herroepen als om het te geven.

Gegevensoverdracht buiten de EU

Persoonsgegevens mogen de EU niet verlaten, tenzij u toestemming heeft van de toezichthoudende autoriteit of wanneer de betrokkene op de hoogte is van de gegevensoverdracht. Tevens kent de betrokkene de bijbehorende risico’s en machtigt hij of zij de overdracht.

Aanstelling van een Data Protection Officer (DPO)

Als u gegevens op grote schaal verwerkt, moet u voor uw organisatie een DPO aangeven. De DPO is uw vertegenwoordiger aan de toezichthoudende autoriteiten die de naleving van de verordening monitoren en waarborgen. Hij of zij is ook de contactpersoon voor eventuele vragen of klachten van gegadigden. Daarnaast leiden ze uw compliance-activiteiten, zoals vereist door de Data Protection Impact Assessment (DPIA) en communiceren ze over beveiligingsbeleid, evaluaties, naleving, verzoeken van onderwerpen en onder meer mislukte kennisgevingen.

Kosten van nalatigheid

Bedrijven en organisaties die niet aan het GDPR voldoen, kunnen een boete krijgen die kan oplopen tot € 20 miljoen of 4% van de wereldwijde jaaromzet. De boetes worden getoetst en beoordeeld. Zelfs wanneer organisaties deze overtreding voor het eerst begaan, kunnen boetes een omvang hebben van 2% van de wereldwijde jaaromzet. Bij organisaties kunnen daarnaast ook extra kosten in rekening worden gebracht. Een voorbeeld hiervan zijn juridische kosten, wanneer EU-burgers het gevoel hebben dat hun rechten geschonden zijn en vervolgens een rechtszaak aanspannen en deze winnen, worden deze kosten verhaald op uw organisatie.

HOE KUNNEN WE U HELPEN?

Wilt u weten hoe uw organisatie ervoor staat op het gebied van de wettelijke AVG / GDPR eisen en hoe dit ingericht zou kunnen worden? Neem contact dan met ons op. Wij helpen u graag.

 

Contact us