GDPR (General Data Protection Regulation)

GDPR, waar staat dit nou voor?

GDPR staat voor “General Data Protection Regulation”. Het is de nieuwe privacywet voor de Europese Unie, die ingaat op 25 mei 2018. De GDPR is een Europese wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) vervangt.

De GDPR omvat nieuwe regels voor bedrijven, overheidsinstellingen, non-profits en andere organisaties die producten en diensten verzorgen voor of die data verzamelen of analyseren die verbonden zijn aan Europese burgers.

Waarom GDPR?

De GDPR biedt individuen meer controle over hun persoonlijke data, zorgt voor meer transparantie rondom het gebruik van data en vereist beveiliging en controles om data te beschermen.

GDPR en boetes

De GDPR zal door de autoriteiten bekrachtigd worden met controles op straffe van boetes. Er zijn straks twee boetecategorieën. Er zijn boetes van ten hoogste 10 miljoen euro of 2 procent van de wereldwijde omzet van de verwerkingsverantwoordelijke of verwerker van data en er zijn boetes van ten hoogste 20 miljoen euro of 4 procent van de wereldwijde omzet. 

Voor wie geldt de GDPR?

De wet is van toepassing op alle organisaties die gevestigd zijn in de EU, die diensten of goederen aanbieden in de EU of die het gedrag van ingezetenen van de EU observeren of monitoren. De GDPR van toepassing op organisaties van elke grootte en uit iedere sector.

Wanneer is de GDPR van kracht?

De GDPR is vanaf 25 mei 2018 van kracht. Het vervangt dan de huidige Europese Data Protection Directive. Deze is al van kracht sinds 1995. De GDPR is als wet aangenomen in april 2016. Er is echter een overgangsperiode vastgesteld van twee jaar omdat veel organisaties grote veranderingen moeten doorvoeren om compliant te zijn. Vanaf mei 2018 moeten alle organisaties, op wie de Europese regels van toepassing zijn, aan de wet voldoen.

Waar draait GDPR nu eigenlijk om?

De GDPR is opgebouwd rondom zes principes:

1. Het verplicht stellen van transparantie rondom het verzamelen, analyseren en gebruiken van persoonlijke data.
2. Het beperken van het verwerken van persoonlijke data tot specifieke, legitieme doeleinden.
3. Het beperken van het verzamelen en opslaan van persoonlijke data voor de bedoelde of benoemde doeleinden.
4. Het in staat stellen van individuen om hun eigen persoonlijke data te laten corrigeren of verwijderen.
5. Het beperken van het opslaan van persoonlijk identificeerbare data tot maximaal de tijdsduur die noodzakelijk is voor de van toepassing zijnde doeleinden.
6. Het verzekeren van de beveiliging van persoonlijke data met gepaste beveiligingsmaatregelen.

Wat betekent dit in de praktijk?

Enkele voorbeelden van hoe deze principes invloed hebben op de omgang met data:

• Onder de GDPR hebben individuen het recht om te weten of organisaties hun persoonlijke data verwerken en om kennis te nemen van de doeleinden van die verwerking. Een individu heeft het recht om zijn of haar data te laten corrigeren of verwijderen, om te vragen om het verwerken van die data te beëindigen, bezwaar te maken tegen direct marketing en om reeds verstrekte toestemming voor bepaalde toepassingen van hun data in te trekken.
• Het recht op “dataportabiliteit” geeft individuen het recht om hun data te verplaatsen naar een andere locatie en om daar hulp bij te krijgen.
• De GDPR vereist van organisaties dat persoonlijke data wordt beveiligd op een niveau dat overeenstemt met de gevoeligheid van die data.
• In het geval van een datalek moeten “data-controllers” de autoriteiten binnen 72 uur op de hoogte stellen. Daarnaast moeten organisaties, in het geval het datalek een redelijk risico kan opleveren voor de rechten en vrijheid van individuen, de betrokkenen direct op de hoogte stellen.
• Er moet een juridische basis zijn voor de verwerking van persoonlijke data. Elke toestemming voor het verwerken van persoonlijke data moet “vrijwillig gegeven, specifiek, geïnformeerd en ondubbelzinnig” zijn. Een simpele cookiebar op uw website, zonder verwijzing naar regels en voorwaarden volstaat bijvoorbeeld niet meer. Er bestaan onder de GDPR unieke regels in verband met het geven van toestemming, bedoeld om kinderen te beschermen.
• Organisaties moeten zogenaamde data-protection impact assessments uitvoeren om de impact van projecten op privacy te voorspellen en om aanpassingen door te voeren waar nodig. Verslagen van dataverwerkingsactiviteiten, toestemming om data te verwerken en GDPR compliance moeten worden bijgehouden.
• Een belangrijk punt: GDPR compliance is geen eenmalige activiteit, maar een continu proces. Niet compliant zijn met GDPR kan boetes opleveren. Om GDPR compliant te zijn en te blijven, is het aan te raden dat organisaties een cultuur van privacy omarmen, die de belangen van individuen behartigt.