GDPR Sessies – Deel 1: Wat is GDPR

Aangezien wij merken dat er telkens vaker vragen binnenkomen over de nieuwe GDPR wetgeving, in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG) willen wij in de komende weken en maanden u graag op de hoogte brengen van GDPR, wat dit voor uw bedrijf inhoudt en hoe u kunt zorgen dat u voldoet aan deze nieuwe wet. Deze week deel 1; een inleiding. 

Wat is de GDPR?

De General Data Protection Regulation is een nieuwe privacywet binnen de Europese Unie. Europese ingezetenen krijgen door de wet meer controle over hun persoonsgegevens, meer helderheid over het gebruik ervan en er zijn vereisten vastgesteld voor de beveiliging en controle van gegevens zodat deze goed worden beschermd.

Geldt de GDPR voor mijn organisatie?

De GDPR is op meer bedrijven van toepassing dan je in eerste instantie zou denken. De wet legt nieuwe regels op aan bedrijven, overheidsorganen, non-profit organisaties en andere organisaties die goederen en diensten aanbieden aan mensen binnen de Europese Unie (EU) of die gegevens verzamelen en analyseren die gebonden zijn aan inwoners van de EU. En deze regels gelden voor bedrijven in de hele wereld.
In tegenstelling tot sommige andere jurisdictie is de GDPR van toepassing op bedrijven van elke omvang en binnen alle branches. De EU wordt internationaal vaak gezien als een rolmodel als het gaat om privacykwesties. Vele experts verwachten dan ook dat het GDPR-concept na verloop van tijd wordt overgenomen in andere delen van de wereld.

Wanneer wordt de GDPR van kracht?

De GDPR treedt in werking op 25 mei 2018. Het vervangt daarmee de bestaande Data Protection Directive (Directive 95/46/EC) uit 1995. De GDPR is door de EU lidstaten vastgesteld in april 2016. Maar vanwege de grote aanpassingen die sommige organisaties moeten maken om te kunnen voldoen aan de nieuwe regels, is er gekozen voor een overgangsperiode van twee jaar.

Wat zijn de belangrijkste onderdelen van de GDPR?

De GDPR heeft zes basiselementen:

• Transparantie over verwerking en gebruik van persoonsgegevens.
• Beperken van verwerking van persoonsgegevens tot specifieke, legitieme doeleinden.
• Beperken van verzameling en opslag van persoonsgegevens tot beoogd gebruik.
• Individuen in staat stellen om persoonsgegevens te corrigeren of om verwijdering te vragen.
• De opslagduur van persoonsgegevens beperken tot zo lang als nodig is voor het beoogd gebruik.
• Persoonsgegevens beveiligen met geschikte beveiligingsmethoden.

Wat zijn voorbeelden van vereisten voor de GDPR met betrekking tot deze basiselementen?

• Volgens de GDPR hebben burgers het recht om te weten of en waarvoor een organisatie zijn of haar persoonlijke gegevens gebruikt. Een persoon heeft het recht om gegevens te verwijderen of te corrigeren, om te verzoeken de gegevens niet langer te gebruiken, om bezwaar te maken tegen direct marketing en de toestemming in te trekken voor bepaalde toepassingen van hun gegevens. Door het recht op gegevensportabiliteit hebben personen toestemming hun gegevens te verplaatsen naar een andere locatie en op ondersteuning bij deze handeling.
• Volgens de GDPR moeten organisaties persoonsgegevens beveiligen op een wijze die passend is bij het vertrouwelijkheidsniveau. In het geval van een gegevensschending moeten verwerkingsverantwoordelijken binnen 72 uur de relevante autoriteiten hiervan op de hoogte stellen. En als de inbreuk waarschijnlijk leidt tot een hoog risico op schending van rechten en vrijheid van individuen, moet de organisatie ook direct de betreffende individuen op de hoogte stellen.
• Er moet een wettelijke basis zijn voor het gebruik van persoonsgegevens. Voor het gebruik van persoonsgegevens moet “specifieke, vrij bepaalde en ondubbelzinnige toestemming worden gegeven met kennis van zaken”. Voor kinderen bestaan binnen de GDPR aparte vereisten.
• Organisaties moeten privacy impact assessment (PIA) volgens de Autoriteit uitvoeren voor hun gegevensbescherming, om zo te kunnen bepalen wat de privacy-impact is van projecten en maatregelen nemen indien nodig. Er moeten registers worden bijgehouden over verwerkingsactiviteiten, toestemmingen voor gegevensgebruik en GDPR-compliance.
• De naleving van de GDPR is niet iets wat je eenmalig doet en dan nooit meer. Het is een continu proces. Het niet naleven van de GDPR kan resulteren in hoge boetes. Om te zorgen voor naleving van de GDPR worden organisaties aangemoedigd om een privacycultuur te creëren binnen hun bedrijf om zo de belangen die individuen hebben bij hun persoonsgegevens te beschermen.

 
Wilt u meer informatie over de GDPR of heeft uw bedrijf hulp nodig bij het voldoen aan de GDPR-vereisten? Neem vrijblijvend contact op met OfficeGrip en ontdek de mogelijkheden.

In deel 2 gaan we kijken naar een platformaanpak voor de GDPR.