De vijf voornaamste pijlers van de GDPR

De vijf voornaamste pijlers van de GDPR

25 mei 2018, een datum bij vele bedrijven in het geheugen gegrift!

Dan treedt namelijk de nieuwe Europese privacy wetgeving GDPR in.

GDPR staat voor General Data Protection Regulation. In Nederland is deze ook wel bekend als de AVG (Algemene Verordening Gegevensbescherming). Heel veel bedrijven zijn er druk mee bezig om de interne processen op orde te krijgen en de organisatie klaar te stomen voor de nieuwe richtlijnen op het gebied van privacy.

De GDPR is in feite het resultaat van een herziening van de Europese wetgeving uit 1995; de Data Protection Directive. Die wetgeving werd door elke lidstaat op een andere manier geïnterpreteerd, wat uiteindelijk leidde tot veel onduidelijkheid. Daarnaast had de wetgeving behoefte aan modernisering om ontwikkelingen zoals de cloud en sociale media (en de enorme hoeveelheden data die daarmee gepaard gaan) het hoofd te bieden.

De grote vraag is nu natuurlijk in hoeverre jouw organisatie al klaar is voor de GDPR. Want moet je eigenlijk wel zo veel intern veranderen om te voldoen aan de nieuwe richtlijn? In principe bouwt de GDPR door op de WBP ( Wet Bescherming Persoonsgegevens ) en is vorig jaar (1 januari 2016) natuurlijk al de Meldplicht Datalekken in het leven geroepen. Je zou dan bijna denken dat veel bedrijven slechts enkele aanpassingen hoeven te doen om volledig compliant te zijn, toch?

De vijf voornaamste pijlers

Ten opzichte van de bestaande wetgeving zijn er wel enkele wijzigingen doorgevoerd waar rekening mee gehouden dient te worden. De voornaamste vernieuwingen rond de GDPR zijn eigenlijk op te delen in slechts een aantal pijlers. Deze zijn:

1. Transparantie

Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt. En dat moet op een begrijpelijke manier, zodat ook minderjarige personen, de tekst kunnen begrijpen. Een hulpmiddel hierbij is de tekst controleren met behulp van leesbaarheidsscores. Dit kan onder andere met MS Office.

2. Dataportabiliteit

Burgers moeten hun gegevens kunnen overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecom provider te wisselen. De organisatie die de gegevens verstrekt, mag betrokkenen hierin niet tegenwerken. En moet ervoor zorgen dat de betrokkenen hun gegevens makkelijk kunnen krijgen en doorgeven. Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine leesbaar formaat te verstrekken.

3. Recht om vergeten te worden

Bedrijven moeten persoonsgegevens wissen als de persoon in kwestie daarom vraagt en als er geen geldige grondslag tegenover staat. Dit dient onmiddellijk te gebeuren, uiterlijk binnen een maand. Dit geldt ook als de data inmiddels is gedeeld met derde partijen. Het bedrijf welke de gegevens met derden heeft gedeeld is verantwoordelijke dat die ontvangers worden geïnformeerd dat deze persoonsgegevens heeft gewist.

4. Meldplicht bij datalekken

Sinds 1 januari 2016 geldt al de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Bedrijven zijn met de komst van de nieuwe Europese wetgeving verplicht een datalek te melden binnen 72 uur na kennisneming van het lek, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

5. Privacy by Default

Personen moeten voortaan overal expliciet toestemming verlenen voor het gebruik van hun gegevens. Dus waar je voorheen de vinkjes al had aan staan voor toestemming om de bezoeker in te schrijven op een nieuwsbrief, is dat nu verleden tijd. De vinkjes moeten uitstaan.

Verdere voorbereiding

Natuurlijk zijn dit niet alle onderwerpen welke zijn veranderd of die het meest van toepassing zijn, wel zijn dit de voornaamste onderwerpen waar je je als bedrijf al op kunt voorbereiden. Gelukkig heeft de Autoriteit Persoonsgegevens een kort stappenplan opgesteld die je moet helpen om goed voorbereid te zijn op de nieuwe Europese wetgeving. Het stappenplan van de AP 10 stappen Algemene Verordening Gegevensbescherming.

Heb je met jouw organisatie hulp nodig om je verder voor te bereiden op de aankomende Europese wetgeving, dan helpen we je natuurlijk graag op weg. Neem dan neem contact op voor een vrijblijvend gesprek.