• Home
  • Dit moet je weten over AVG

Dit moet je weten over General Data Protection Regulation (GDPR)

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Deze nieuwe (Europese) privacywetgeving is van toepassing op alle lidstaten van de Europese Unie en zal als vervanging dienen voor nationale wetten zoals de Wet bescherming persoonsgegevens (Wbp). In Nederland spreken we ook wel over de Algemene verordening gegevensbescherming (AVG).

Wat gaat er veranderen in 2018?

De bescherming van persoonsgegevens wordt momenteel door ieder land zelf gereguleerd. De Europese Unie heeft hiervoor Richtlijn 95/46/EG opgesteld welke als leidraad wordt gevolgd. Landen kunnen hieraan hun eigen, nationale wetten toepassen. Een goed voorbeeld hiervan is de Wet bescherming persoonsgegevens (Wbp) die tot op heden in Nederland wordt gebruikt.

De nieuwe privacywetgeving zal al deze nationale wetten vervangen. Ook wordt Richtlijn 95/46/EG ingetrokken. We hebben een aantal interessante veranderingen op een rij gezet:

  • Er volgt strengere toezicht met hogere sancties. De boetes kunnen oplopen tot € 20 miljoen of 4% van de jaaromzet.
  • De nieuwe privacywetgeving is ook van toepassing op organisaties uit landen die niet lid zijn van de Europese Unie, maar wel diensten of producten aanbieden binnen de Europese Unie of het gedrag van een individu binnen de Europese Unie monitoren.
  • De regels zijn in alle lidstaten gelijk. Dit is dus gunstig voor organisaties die in meerdere lidstaten actief zijn.
  • De nieuwe privacywetgeving is een verordening. Dit betekent dat het (in tegenstelling tot Richtlijn 95/46/EG) rechtstreeks geldig is en het eigen, nationale wetten “overruled”.
  • Wanneer een individu verzoekt om persoonsgegevens te verwijderen, dan moet je hier als organisatie aan voldoen (indien aan bepaalde voorwaarden wordt voldaan). We noemen dit ‘recht op vergetelheid’.
  • Lidstaten van de Europese Unie mogen zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het burgerservicenummer (BSN).

Wat betekent dit voor mij?

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Vanaf die datum moet iedereen zich aan deze privacywetgeving houden. Tot die tijd is de Wet bescherming persoonsgegevens (Wbp) nog van toepassing.

De impact die deze verordening met zich meebrengt is groot. Vanaf 25 mei 2016 is de komst van deze nieuwe privacywet bekendgemaakt. De overgangsperiode van twee jaar is bedoelt om organisaties de tijd en gelegenheid te geven om aanpassingen door te voeren.

Wat moet ik doen?

Voor vrijwel iedere organisatie zullen er veranderingen plaatsvinden. De grootte van deze veranderingen is afhankelijk van meerdere factoren. We hebben een aantal belangrijke aandachtspunten opgesomd:

  • Zorg ervoor dat je kenbaar maakt dat je persoonsgegevens verzameld. De individu moet hiermee akkoord gaan.
  • Zorg ervoor dat er een privacyverklaring aanwezig is en dat deze in begrijpelijke taal is geschreven.
  • Zoek uit of er een Data Protection Officer (Functionaris voor de Gegevensbescherming) moet worden aangesteld die toeziet op naleving van de Wet Bescherming Persoonsgegevens. Dit is sowieso verplicht bij organisaties waarbij het verwerken van bijzondere persoonsgegevens (bijvoorbeeld patiëntgegevens) tot hun kernactiviteiten behoren.
  • Zorg ervoor dat er een handleiding voor datalekken aanwezig is en dat medewerkers op de hoogte zijn van de te nemen stappen bij incidenten welke mogelijk als datalek kunnen worden aangemerkt.
  • Breng in kaart welke persoonsgegevens worden verwerkt, hoe deze worden verwerkt en welke beveiligingsmaatregelen er worden genomen.
  • Organisaties met meer dan 250 medewerkers of organisaties die bijzondere persoonsgegevens verwerken moeten een register/database bijhouden waarin de verwerkingen worden bijgehouden. Denk hierbij aan wie, wat, waar, wanneer en waarom. Tot slot moet je ook de genomen beveiligingsmaatregelen vermelden.
  • Zoek uit of een Privacy Impact Analyse (PIA) benodigd is om een inschatting te maken van de privacyrisico’s.
  • Zorg voor technische (bijvoorbeeld een SSL-certificaat) en organisatorische maatregelen.

Let op, de informatie in dit artikel is met de grootst mogelijke zorg samengesteld. Desondanks kan het voorkomen dat er onjuistheden in de informatie zitten. Schakel waar nodig een professional in om te toetsen of jouw organisatie voldoet aan de nieuwe privacywetgeving.

Meer weten?

Wil je meer weten over de General Data Protection Regulation (GDPR)? Raadpleeg dan eens de volgende bronnen:

HOMEMADE
WEBDESIGN