De GDPR. Laat je niet verrassen!

Afgelopen periode hebben twee van onze collega’s, Bas Meinen en Sander Rekveld, de training “Data Protection Regulation (GDPR)/Data Protection Officer (DPO) nl. Algemene Verordening Gegevensbescherming (AVR) en Functionaris voor Gegevensbescherming (FG)” bij de Privacy Academy gevolgd. Wij zijn erg blij dat Bas en Sander nu helemaal op de hoogte zijn van de GDPR. De eerste stap is gezet.

“De cursus maakt van een abstracte wettekst, iets concreets en tastbaars, dat direct bruikbaar is in de praktijk.” – Sander Rekveld

Op 25 mei 2018 is het zover. Vanaf dat moment moet iedere organisatie die gegevens verwerkt van personen, voldoen aan de Europese General Data Protection Regulation (GDPR). Dit is de nieuwe Europese versie van de Wet bescherming persoonsgegevens (Wbp) die tot op heden geldt in Nederland. De Wpb zal dan ook komen te vervallen, waardoor binnen heel Europa meer uniforme regels zullen gelden op het gebied van privacy en gegevensbescherming.

Wat betekent dit voor mijn organisatie?

Onder de GDPR zal veel strenger gelet worden op de manier waarop er met persoonsinformatie wordt omgegaan. Dit heeft ook invloed op jouw organisatie.

Ja, Ja, Ja, Ik wil

Personen krijgen met de invoering van de GDPR het recht om hun gegevens te laten corrigeren en te verwijderen (het recht om vergeten te worden). Daarnaast moet iemand actief toestemming geven voor het opslaan en gebruiken van zijn persoonsgegevens. Dus één vooraf aangevinkt hokje waarmee je eenmalig toestemming vraagt voor alles, is verleden tijd. Zoals de nieuwe wet omschrijft: moet ieder persoon ‘specifieke, vrij bepaalde en ondubbelzinnige toestemming geven, met kennis van zaken’. Dit betekent dat elke keer als er persoonsgegevens gevraagd worden door een bedrijf, hierover duidelijke uitleg moet worden gegeven.

Totale transparantie

Niet alleen voor het verkrijgen van toestemming zijn de regels aangescherpt, ook de uiteindelijke verwerking wordt aan scherpere regels onderworpen. Dit betekent dat persoonsgegevens:

• op behoorlijke, rechtmatige en transparante manier moeten worden verwerkt;
• moeten worden beveiligd door middel van technische en organisatorische maatregelen;
• die noodzakelijk zijn voor het doel mogen worden verwerkt;
• moeten worden verwijderd of geanonimiseerd als identificatie niet meer noodzakelijk is voor het doel;
• alleen voor een bepaald, uitdrukkelijk omschreven doel mogen worden verwerkt;
• correct en actueel zijn.

Ook wanneer er een overeenkomst wordt afgesloten met bewerkers van gegevens in een bedrijfsketen moet deze aan strengere eisen voldoen. De volgende onderdelen moeten expliciet genoemd worden:

• het doel van de verwerking;
• het soort persoonsgegevens dat wordt verwerkt;
• de categorieën van betrokkenen;
• passende beveiligingsmaatregelen worden genomen;
• toezegging voor medewerking aan audits;
• de toezegging dat na de verwerking persoonsgegevens weer worden vernietigd of geretourneerd aan de verantwoordelijke;
• derde partijen zullen niet worden ingeschakeld zonder toestemming van de verantwoordelijke.

En mocht het fout gaan…

Zorg er dan voor dat je in ieder geval alles goed geadministreerd hebt. Onder de GDPR is het namelijk verplicht om aan te kunnen tonen dat je voldoet aan alle verplichtingen uit de GDPR. Mocht er toch een datalek zijn dan moet dit in eerste instantie gemeld worden aan de verantwoordelijke DPO. Pas als er ook daadwerkelijk gegevens gelekt zijn, moet er melding gemaakt worden bij de toezichthouder (in Nederland de Authoriteit Persoonsgevens). Mocht je ondanks alles toch de fout ingaan, dan kan de boete flink oplopen. Met een maximum van 20 miljoen of 4 procent van de omzet zijn deze zeker niet mals te noemen.

Zorg er dus voor dat je op tijd je zaken op orde hebt. Uiteraard staan onze 2 vers gecertificeerde collega’s klaar om vragen te beantwoorden over de GDPR.

Onderwerpen
Actieve filters: Wis alle filters
Loading...