Wat verandert er voor jou? Nieuwe regels bescherming persoonsgegevens

Door Quentin Beglinger | 20 april 2017

De General Data Protection Regulation (GDPR) betreft de Europese privacy wetgeving die op 25 mei 2018 in de hele EU zal gelden. Vanaf dat moment vervangt de GDPR alle nationale wetten van de individuele lidstaten op het gebied van de bescherming van persoonsgegevens. In dit artikel vertellen we meer over de GDPR en wat dit betekent voor de verwerking van gegevens door bedrijven.

Een lange geschiedenis

Al op 24 oktober 1995 is de Data Protection Directive 95/46/EC in werking getreden. Het doel van deze richtlijn was harmonisatie van Europese wetten op het gebied van dataprotectie en de verzending van persoonlijke gegevens naar zogenaamde “derde landen” buiten de EU te regelen. De volledige titel van de richtlijn luidt:

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

De Nederlandse omzetting van deze richtlijn in nationale wetgeving is de Wet bescherming persoonsgegevens (Wbp). Aangezien de ontwikkelingen op het gebied van internet, social media en cloud opslag op het gebied van persoonlijke gegevens steeds vaker nieuwe vraagstukken met zich meebrachten, is op 24 mei 2016 de algemene verordening gegevensbescherming (AVG, de Nederlandse benaming voor GDPR) in werking getreden. Daarnaast kwam er ook nog een aparte richtlijn voor gegevensbescherming bij opsporing en vervolging, deze is bedoeld voor politie en justitie.

De verwerking van persoonsgegevens met Amerika was geregeld met de International Safe Harbour Principles, wat na een oordeel op 6 oktober 2015 van het Europees Hof van Justitie op 12 juli 2016 is vervangen door het EU-VS-privacyschild. Het is nog onbekend of de GDPR dit schild gaat vervangen.

Gevolgen

Met de komst van de AVG is er meer controle over wanneer, hoe en aan wie persoonsgegevens worden verstrekt en waarvoor die gegevens mogen worden gebruikt. Dit geldt voor alle bedrijven die op een geautomatiseerde of een gestructureerde manier persoonsgegevens verwerken. Bij persoonsgegevens gaat het dan om alle informatie over een persoon, ook gegevens die indirect iets over iemand zeggen. Deze gegevens betreffen meestal de naam van en klant en het klantnummer, maar kunnen ook IP-adressen zijn of andere online identiteiten die terug te leiden zijn naar een natuurlijk persoon. Dit houdt in dat elk bedrijf dat klantgegevens registreert, moet voldoen aan de GDPR wetgeving. Maar waar moet je dan precies aan voldoen?[/fusion_text][fusion_text]

Stappenplan

Er is nog geen duidelijk stappenplan om te kunnen voldoen aan de GDPR, maar uit de wetgeving zijn een aantal punten te herleiden:

• Bewustwording
  • Zorg ervoor dat alle medewerkers in het bedrijf op de hoogte zijn van de GDPR en de gevolgen ervan.
• Registreren van verwerkingsactiviteiten
  • Breng duidelijk in kaart welke persoonsgegevens je verwerkt, waarom je deze verwerkt, waar je ze bewaart en met wie je deze deelt.
• Privacyverklaring
  • Controleer of je privacyverklaring nog up-to-date is.
• Wettelijke basis
  • De GDPR eist een wettelijke basis voor gegevensverwerking. De wettelijke grondslag moet je in een privacyverklaring zetten en nog eens verduidelijken in een verzoek voor toegang tot persoonsgegevens.
• Rechten van de betrokkene
  • In de GDPR krijgt de gebruiker van wie de persoonsgegevens worden verzameld, enkele bijkomende rechten en worden bestaande rechten verruimd. Je moet zorgen dat men deze rechten kan vervullen.
• Verzoek tot toegang
  • De gebruiker heeft het recht om zijn of haar gegevens en informatie in te zien.
• Toestemming
  • Je moet op elk moment kunnen bewijzen dat er een ondubbelzinnige toestemming is gegeven voor de verwerking van persoonsgegevens die je opslaat of gebruikt.
• Minderjarigen
  • Je moet nagaan of gebruikers meerderjarig zijn of niet, anders moet er toestemming worden gegeven door ouders, verzorgers of voogd.
• Datalekken
  • In Nederland bestaat deze wetgeving al en zal worden opgenomen in de GDPR. Het is namelijk verplicht datalekken aan te geven.
• Data Protection by Design en Data Protection Impact Assessment
  • Data Protection by Design draait om het inbouwen van privacy vanaf de start. Bij Data Protection Impact Assessments zullen alle risico’s van elk systeem of proces dat werkt met persoonsgegevens moeten worden afgewogen.
• Data protection officer
  • Eén persoon die de opvolging van gegevensbescherming in zijn takenpakket heeft (dit is niet verplicht binnen elk bedrijf).
• Internationaal
  • Als je in verschillende landen persoonsgegevens verzamelt, moet je weten welke autoriteit toezicht houdt over jouw activiteiten.
• Onderdeel responsibility and accountability
  • Een van de belangrijkste onderdelen betreffen verantwoordelijkheid en aansprakelijkheid.

Verantwoording

Kan je als bedrijf aantonen hoe en hoe goed gegevens worden beschermd en hier verantwoording over uitspreken? Tegenwoordig gaat dit nog niet transparant genoeg en geldt er een vrij formele procedure om autorisatie voor gegevensverwerking te krijgen. Met de komst van de GDPR zal dit eerder gaan om hoe goed de bedrijfsprocessen zijn georganiseerd dan de hierboven genoemde “formele” manier. Daarom is het goed om intern iemand te hebben die een redelijke kennis heeft van zowel de bescherming van persoonsgegevens als relevante wetgeving, om vervolgens aanpassingen te kunnen doorvoeren in bedrijfsprocessen. Nadat is vastgesteld waar de persoonsgegevens zich bevinden en wat er precies mee wordt gedaan, moeten ze namelijk op de juiste manier worden beveiligd.

Bedrijfsvoering

Vanaf het moment dat de AVG in werking trad tot de eerder genoemde datum van 25 mei 2018 hebben bedrijven in Nederland de tijd om hun bedrijfsvoering met deze wet in overeenstemming te brengen. Dat brengt behoorlijke veranderingen met zich mee. Waren de boetes voor bijvoorbeeld het niet melden van een datalek vanuit de Wbp nog maximaal € 820.000 of 10% van de jaaromzet, bij het niet naleven van de AVG is dat veranderd in maximaal € 20 miljoen of 4% van de jaaromzet. Dit geldt dan zowel voor de verwerkende partij (controller) als voor de bewerkende partij (processor), wat maakt dat cloud providers ook in dit verhaal worden meegenomen.

Tot slot

Ben je al op de hoogte van de GDPR? Laat je voorlichten, volg een training en onderneem de juiste acties. Mei 2018 is al dichterbij dan je denkt:

[screenshot http://www.eugdpr.org/eugdpr.org.html  – Time until GDPR enforcement]