Menu Sluiten

 

 

General Data Protection Regulation

GDPR (of ook Algemene Verordening Gegevensbescherming – AVG genoemd) gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Als organisatie moet u vanaf mei 2018 kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt (of u dit nu in uw datacenter of in de cloud buiten de EU beheert).

 

 

1. Wat houdt GDPR in?

De nieuwe GDPR-wetgeving introduceert eengemaakte regels over de beveiliging én de opslag van persoonlijke gegevens. Het gaat hier zowel om de persoonlijke gegevens van klanten als van je eigen werknemers.

De wet geldt voor de hele Europese Unie en bestaat uit twee delen. Langs de ene kant heb je de Regulation waar de bedrijfswereld zich aan moet houden en daarnaast heb je de Directive die van toepassing is voor overheidsdiensten zoals politie en justitie. Een belangrijk onderscheid.

 

2. Over welke gegevens gaat het?

Persoonlijke gegevens zoals naam, geslacht, geboortedatum, adres,…

Online gegevens zoals zoekgeschiedenis, cookies, e-mail,…

Financiële gegevens zoals bankrekening, inkomen, belastingen,…

Juridische informatie zoals veroordelingen, boetes,…

Sociale media zoals Facebook, LinkedIn, Twitter,…

GPS-gegevens zoals reisinformatie, GPS,…

Medische gegevens zoals vaccinaties, ziekenhuisinfo,…

Etnische gegevens zoals culturele voorkeuren, religies,…

Winkelgedrag zoals winkelaankopen, direct marketing,…

 

3. De gevolgen voor je bedrijf en hoe voorbereiden?

De wetgeving gaat in vanaf mei 2018 en geldt voor iedereen die goederen of diensten aanbiedt in de Europese Unie. Vanaf dan moet je als bedrijf dus kunnen aantonen dat je voldoet aan de nieuwe wet. Dit gaat zowel over de manierGDPR 2 300×180 – GDPR in mensentaal van verzamelen van persoonlijke gegevens als over het opslaan in datacenters of in een cloud buiten de EU. Voor de meeste bedrijven is dit een enorme aanpassing.

Gelukkig heeft de privacycommissie enkele richtlijnen opgesteld om je bedrijf zo goed mogelijk voor te bereiden.

Transparantie: Je moet op een begrijpelijke manier uitleggen hoe de data wordt verzameld en verwerkt.

Recht om vergeten te worden: Wanneer een persoon aan jouw bedrijf vraagt om de persoonsgegevens te wissen dan ben je dit verplicht. Ook als de data al gedeeld werd met derde partijen.

Meldplicht: Is er een datalek? Je bent verplicht om dit binnen de 72 uur te melden, tenzij je kan aantonen dat het geen gevaar vormt voor de persoonsgegevens.

Data-overdracht: Burgers kunnen hun gegevens overdragen van de ene dienstverlener naar de andere. Voorbeeld: internetprovider.

 

4. Wat zijn de sancties?

Als je niet voldoet aan de GDPR-wetgeving dan hangen er hoge boetes boven je hoofd. Bij een ‘lichte schending’ kan het gaan over 2% van je jaarlijkse omzet. De maximale boete kan oplopen tot €20 miljoen of 4% van je jaarlijkse omzet.

 

5. Een toezichthouder binnen je bedrijf

Omdat de GDPR-richtlijnen een grote impact hebben op je bedrijf – en de sancties niet mals zijn – moet je een verantwoordelijke aanstellen. Dit noemen we een DPO, ofwel Data Protection Officer. Deze persoon kent de nieuwe wetgeving heel goed en controleert of alles nauwkeurig wordt opgevolgd.

De DPO kan een DPIA ofte Data Protection Impact Assessment uitvoeren. Dit is een instrument waarmee je de privacyrisico’s van een gegevensverwerking in kaart kan brengen. Hoewel wij een DPIA ten zeerste aanraden, is het enkel verplicht wanneer de gegevensverwerking een hoog privacyrisico oplevert. Na het uitvoeren van de DPIA kan de DPO aanpassingen doen of adviseren om de risico’s te verkleinen of weg te werken.

De DPO moet er dus op toekijken dat jouw bedrijf de data verwerkt en bewaart volgens de GDPR-regels. Wat heel belangrijk is, is dat de DPO geen eindverantwoordelijkheid heeft en dus niet aansprakelijk is. Wanneer de regels niet worden nageleefd heeft het bedrijf de volledige aansprakelijkheid.