Veilig, transparant, compatibiliteit

Veilig, transparant, compatibiliteit

Tien belangrijke dingen die u moet weten over de GDPR

Top 10 veelgestelde vragen over de GDPR 

Wat is de GDPR?

De GDPR (General Data Protection Regulation of algemene verordening gegevensbescherming) is de nieuwe verordening van de Europese Unie ingesteld ter vervanging van de richtlijn gegevensbescherming Data Protection Directive (95/46/EC) en de UK Data Protection Act 1998.

De verordening wil de gegevensbescherming voor alle individuen binnen de Europese Unie (EU) versterken en verenigen, evenals de uitvoer van persoonsgegevens buiten de EU aanspreken.

Wanneer zal de GDPR in werking treden?

De GDPR treedt in werking op 25 mei 2018. Als gevolg van zijnde een EU-verordening en niet een richtlijn (zoals het geval was met de wetgeving die wordt vervangen), treedt het in de hele EU op deze datum automatisch in werking, zonder dat de lidstaten een specifieke wet moeten goedkeuren.

Wie wordt door de GDPR beïnvloed?

De GDPR geldt voor bedrijven en organisaties gevestigd binnen de EU, maar ook organisaties gevestigd buiten de EU als ze goederen of diensten aanbieden die persoonlijke informatie van EU-betrokkenen bevat.

Het geldt voor alle bedrijven, die persoonsgegevens van betrokken personen die woonachtig zijn in de Europese Unie verwerken en voorhanden hebben, ongeacht de locatie van het bedrijf.

Wat voor soort informatie is van toepassing op de GDPR?

Gelijkwaardig aan de richtlijn gegevensbescherming (95/46/EC) en de UK Data Protection Act 1998, is de GDPR van toepassing op persoonsgegevens. De huidige richtlijn gegevensbescherming definieert persoonsgegevens als iedere informatie betreffende een geïdentificeerde of identificeerbaar natuurlijk persoon ("betrokkene"). Een identificeerbaar persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die aan fysieke, fysiologische, psychische, economische, culturele of sociale identiteit verbonden zijn.

Deze definitie blijft meestal onveranderd, maar het is gedetailleerder nu het online id's, zoals IP-adressen en e-mailadressen bevat, die ook als persoonlijke gegevens aangemerkt zijn.

Andere informatie waar de GDPR ook naar verwijst, zijn gevoelige persoonsgegevens. Het is gedefinieerd in speciale categorieën van persoonsgegevens die een unieke persoon identificeert. Het gaat hierbij ook om genetische en biometrische gegevens.

Welke verantwoordelijkheden hebben organisaties onder de GDPR?

Als een organisatie persoonsgegevens behandelt, verklaart de commissaris van het informatiekantoor (ICO):

"U wordt verwacht dat u uitgebreide, maar evenredige bestuurlijke maatregelen invoert. Goede praktijk-tools waar de ICO lange tijd voor heeft gepleit, zoals effectbeoordelingen van de privacy en de persoonlijke levenssfeer, zijn nu in bepaalde omstandigheden wettelijk verplicht. Uiteindelijk moeten deze maatregelen het inbreukgevaar beperken en de bescherming van persoonsgegevens handhaven. Praktisch betekent dit waarschijnlijk meer beleid en procedures voor organisaties, hoewel vele organisaties reeds goede bestuurlijke maatregelen zullen hebben."

Wat zijn de belangrijkste beginselen inzake gegevensbescherming van de GDPR?

Onder de GDPR zijn de belangrijkste verantwoordelijkheden voor organisaties uiteengezet betreffende de beginselen inzake gegevensbescherming. Artikel 5 van de GDPR bepaalt dat persoonsgegevens:

  • Rechtmatig, eerlijk en op een transparante wijze worden verwerkt.
  • Alleen verzamelt worden voor gespecificeerde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder verwerkt worden op een wijze die onverenigbaar is met die doeleinden.
  • Adequaat, relevant en beperkt blijvend tot het noodzakelijke met betrekking tot de doeleinden waarvoor zij worden verwerkt.
  • Nauwkeurig en up to date.
  • Gehouden in een vorm die het mogelijk maakt de identificatie van de betrokkenen niet langer dan noodzakelijk te bewaren.
  • Verwerkt op een wijze, die zorgt voor een passende beveiliging van de persoonlijke gegevens met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking en het per ongeluk verliezen, vernietigen of beschadigen.

Welke rechten hebben individuen onder de GDPR?

Er zijn 8 grondrechten van personen onder GDPR. Dit zijn:

Het recht te worden geïnformeerd Organisaties moeten eerlijke informatieverwerking bieden met transparantie over hoe persoonsgegevens worden gebruikt.

Het recht van toegang Individuen zullen het recht hebben om de verwerking van hun gegevens te bevestigen en hebben toegang tot hun persoonsgegevens.

Het recht op rectificatie Individuen hebben het recht op rectificatie als hun persoonsgegevens onnauwkeurig of onvolledig zijn.

Het recht om te verwijderen Ook wel genoemd "het recht om vergeten te worden". Dit geeft een individu het recht om te verzoeken hun persoonsgegevens te verwijderen, zonder de noodzaak om een specifieke reden op te geven.

Het recht de verwerking te beperken Verwijst naar iemands recht hun persoonsgegevens te blokkeren of het niet bekend maken van de verwerking.

Het recht om gegevens door te geven Dit mogen personen verzoeken, om het voor eigen doel te verkrijgen of om gegevens naar een alternative IT-omgeving over te dragen.

Het recht om bezwaar te maken Individuen hebben het recht om bezwaar te maken tegen het gebruik van hun persoonsgegevens. Dit sluit het gebruik van persoonsgegevens met het oog op direct marketing, wetenschappelijk en historisch onderzoek in, of, voor de vervulling van een taak van algemeen belang.

Rechten met betrekking tot geautomatiseerde besluitvorming en profilering De GDPR introduceert bescherming van personen tegen het risico van een mogelijk schadelijk besluit ondernomen zonder menselijke tussenkomst.

Wat zijn de sancties voor het niet naleven van de GDPR?

De GDPR introduceert een trapsgewijze aanpak voor het opleggen van boetes, wat betekent dat de ernst van de inbreuk bepalend zal zijn voor de geldboete.

De maximale geldboete die een bedrijf tegemoet kan zien is 4% van hun wereldwijde jaaromzet of 20 miljoen euro, wat ook de hoogste is.

Minder ernstige overtredingen, zoals onjuiste registraties of bij het niet in kennis te stellen van eventuele inbreuken, kan beboet worden met maximaal 2% van de wereldwijde jaaromzet of 10 miljoen euro, wat ook de hoogste is.

Wat is de impact van Brexit op de GDPR?

Geen. Ten eerste zal de GDPR alleen in werking treden voor de deadline van Brexit (April 2019). Daar moeten UK bedrijven aan voldoen. Ten tweede, zelfs nadat het Brexit-proces voltooid is, moeten UK bedrijven die goederen of diensten aanbieden aan EU-burgers hier nog aan voldoen.

Moeten nu alle organisaties een functionaris voor gegevensbescherming (DPO) aanstellen?

Het is niet voor alle organisaties noodzakelijk om een DPO aan te stellen. Dit hangt af van een aantal factoren. Volgens de ICO moet een bedrijf een DPO benoemen als:

  • het een overheidsinstantie betreft (met uitzondering van rechterlijke instanties, die optreden in een rechterlijke hoedanigheid)
  • het op grote schaal systematisch toezicht op individuen uitvoert, zoals het bijhouden van online gedrag
  • het grootschalige verwerking van bijzondere categorieën van gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en misdrijven uitvoert

Elke organisatie mag, als ze dat willen doen, een DPO benoemen. Echter, zelfs als een bedrijf ervoor kiest geen DPO te benoemen, omdat bovenstaande niet voor hen geldt, moeten ze er altijd voor zorgen dat ze voldoende personeel en vaardigheden hebben om hun verplichtingen uit hoofde van de GDPR uit te kunnen voeren.

Afdrukken E-mail