• Thaalpad 37, 6102 EH Echt
  • 085 – 536 00 00

GDPR – Wat u moet weten

GDPR – Wat u moet weten.

De GDPR is bedoeld om alle EU-burgers te beschermen tegen inbreuk op privacy en gegevens in een, door gegevens gestuurde, wereld. Maar wat is het effect op het bedrijfsleven?

Hieronder een aantal belangrijke punten van de GDPR in een notendop:

Toepassing

De GDPR is van toepassing op alle instanties die persoonlijke gegevens verwerken of door derden laten verwerken van betrokkenen die woonachtig of gevestigd zijn binnen Europa, ongeacht de locatie van het bedrijf of waar de gegevens daadwerkelijk worden verwerkt. Persoonlijk gegevens blijven hierbij niet beperkt tot voor de hand liggende gegevens, zoals voor- en achternaam, adres etc., maar ook tot gegevens die tot de identiteit van personen zou kunnen leiden. Voorbeelden hiervan zijn bijvoorbeeld: IP-adressen , kentekens of zelfs pseudoniemen. Biedt een bedrijf diensten of goederen aan EU-burgers (ongeacht of betaling vereist is) dan is de GDPR zonder enige twijfel van toepassing. Een bedrijf dat gegevens verwerkt van EU-burgers, zal daarnaast ook een vertegenwoordiger moeten aanwijzen binnen de EU.

Sancties

De schending van de GDPR kan een boete van maximaal 4% van de jaarlijkse bedrijfsomzet of € 20 miljoen; welke in ieder geval groter is. Dit is de maximale geldboete die kan worden opgelegd voor de meest ernstige vorm van inbreuk op privacy. Er wordt overigens geen onderscheid gemaakt tussen zelf- of het laten (door derden) verwerken van persoonlijke gegevens; “Cloud” diensten vormen dus geen uitzondering.

Toestemming

De voorwaarden waarmee toestemming kan worden gevraagd zijn aangescherpt. Het verzoek om toestemming aan de betrokkenen moet in een duidelijke, begrijpelijke en toegankelijke vorm worden weergegeven, zonder ingewikkelde juridische- en dubbelzinnige zinnen en termen. Verder moet het verzoek duidelijk en te onderscheiden zijn van andere zaken. Ook moet toestemming op dezelfde gemakkelijke manier ingetrokken kunnen worden als dat deze gegeven wordt.

Meldplicht datalekken

Onder de GDPR is de meldingsplicht omtrent schending van privacy in de vorm van datalekken nagenoeg hetzelfde als de meldplicht datalekken (Artikel 34a) binnen Wet bescherming persoonsgegevens. Het verschil is dat onder de Wbp al een melding moet worden gedaan als niet kan worden uitgesloten dat er een onrechtmatige verwerking van persoonsgegevens kan plaatsvinden. Binnen de GDPR moeten betrokkenen in ieder geval binnen 72 uur op de hoogste worden gesteld in het geval van een data lek.

Toegang tot eigen data

Alle betrokkenen hebben het recht op toegang tot hun eigen gegevens. Instanties zijn verplicht gegevens, zonder enige kosten, in een digitaal en gangbaar formaat aan te bieden. Daarnaast dienen zij transparant te zijn hoe gegevens door henzelf of derden worden verwerkt. .

Recht om vergeten te worden

Betrokkenen hebben het recht om de verwerking of verspreiding, al dan wel of niet door derden, van persoonlijke gegevens stop te zetten of zelfs te wissen. Onder persoonlijke gegevens wordt verstaan: alle gegevens die niet langer relevant zijn voor het oorspronkelijk doel waarvoor de gegevens in eerste instantie waren bedoeld.

Data portabiliteit

Betrokkenen hebben het recht op het ontvangen van eigen data in een algemeen en gangbaar formaat zoals zij die ook in aanvang hebben aangeleverd. Verder behouden zij altijd het recht deze gegevens te overhandigen aan een andere instantie.

Privacy by design

‘Privacy by design’ is zeker niet nieuw, maar is nu wel een vereiste binnen de GDPR. Concreet dienen gegevenssystemen vanaf de basis op een dusdanige manier te worden ontworpen, zodat de privacy van betrokkenen zo goed mogelijk is beschermd. De bescherming van Privacy vormt de fundamentele basis van het gegevenssysteem en is dus geen add-on of toevoeging op het (bestaande) systeem. Verder dienen alleen gegevens te worden opgenomen in het systeem die als noodzakelijk worden gezien de beoogde taken uit te kunnen voeren (gegevens minimalisering).

Privacy Impact Assessment (PIA)

In een PIA wordt de impact van de gegevensverwerking op de privacy van gegevens beoordeeld. Deze beoordeling is met name verplicht wanneer de manier waarop de gegevens worden verwerkt onderhevig zijn aan veranderingen, zoals aanname van nieuwe technologieën of processen. De impact van een dergelijke wijziging moet ingeschat en geregistreerd worden.

Bronvermelding: http://www.eugdpr.org/