General Data Protection Regulation/

Algemene verordening gegevensbescherming

Geschiedenis
Dit is nieuwe Europese privacywetgeving die de huidige reglementering (De databeschermingsrichtlijn uit 1995) aanvult en vervangt. Die hervorming was hoognodig, want de huidige wetgeving dateert van voor de opkomst van smartphones, internet, sociale media enz.
Wat is voor u belangrijk om te weten?
Het is een Europese wet (verordening). Een nationale tenuitvoerlegging van de wetgeving is niet nodig. Deze wetgeving wordt van kracht zodra hij Europees wordt geratificeerd. (Dit gebeurd op 24 mei 2016, en de wet is van toepassing vanaf 25 mei 2018). Dit is anders dan bij een Europese richtlijn waar wel een nationale tenuitvoerlegging uit voortvloeit en die vaak tot veel varianties leidt. Let wel: in de praktijk zijn er verschillende interpretaties voorzien in de GDPR-wetgeving, dus er zal wel degelijk beperkt nationaal verschil ontstaan.

Op welke gegevens is deze wetgeving van toepassing?
De wetgeving is van toepassing op alle gegevens die gebonden zijn aan personen in de ruimst mogelijke betekenis. Men bedoelt werkelijk alle gegevens die aan een natuurlijk persoon  gekoppeld kunnen worden: naam & adresgegevens, IP-adressen, device MAC, creditcardgegevens, loongegevens, evaluaties, enz.. Men stelt dat alle dingen die gebruikt kunnen worden om iemand persoonlijk te identificeren persoonsgegevens zijn.
Persoonsgegevens die worden gepseudonimiseerd of geanonimiseerd worden anders bekeken in de wetgeving omdat deze gegevens niet meer rechtstreeks te herleiden zijn naar natuurlijke personen. Een groot deel van de wetgeving komt dan te vervallen voor deze datasets.

Voor wie is het van toepassing?
De wetgeving is van toepassing op alle bedrijven die persoonsgegevens verwerken en die:
– Gevestigd zijn in de EU
– Goederen en/of diensten aanbieden aan EU-inwoners
– Gedrag monitoren van EU-inwoners
Daaruit volgt dat sommige bedrijven die niet in de EU gevestigd zijn ook zullen moeten voldoen aan deze wetgeving!
Er wordt wel een uitzondering gemaakt voor “kleine” bedrijven (gedefinieerd als < 250 werknemers) waar de omgang met persoonsgegevens geen significante rol speelt. Zij krijgen vrijstelling van bepaalde onderdelen van de verplichtingen (bijv. een ‘Data Protection Officer’/ ‘functionaris voor gegevensverwerking’) aanstellen.
Naast deze ‘data controllers’/‘verwerkingsverantwoordelijken’ (= bedrijven die verantwoordelijk zijn voor de gegevensverwerking), gaat het ook om ‘data processors’/ ‘verwerkers’: bedrijven die enkel handelen in opdracht van klanten en zelf geen andere gegevens verwerken. Bijvoorbeeld een cloud provider zoals Amazon, omdat zij ook een belangrijke rol spelen in de beveiliging van gegevens.
De wetgeving is voldoende ruim om ook onderaanneming en in ruimere zin leveranciers mee in deze verplichtingen te betrekken.
Aansprakelijkheid is een belangrijk onderdeel.
Er wordt gevraagd om vanaf het begin alle nodige maatregelen en waarborgen te implementeren. Men wil het belang van privacy doen doordringen op alle niveaus van een onderneming. Daarom vraagt én verplicht men om bij verschillende processen de nodige aandacht te besteden aan privacy en veiligheid.

Bijvoorbeeld:
– Aanpassing van een gedetailleerd register van gegevensverwerking (categorisatie, impact etc.)
– Tenuitvoerlegging van veiligheidsmaatregelen
o Technologische maatregelen
o Organisatorische maatregelen
– Gegevensbeschermingseffectbeoordeling
o Bijvoorbeeld bij productontwikkeling
o Minimum aan informatie vragen en opslaan
– ‘Privacy by design/by default’
o Niet zomaar gegevens verspreiden zonder expliciete toestemming
– Aanwijzen van een DPO (Data Protection Officer, functionaris voor gegevensverwerking). Een aanspreekpunt voor de privacycommissie én de verantwoordelijke voor het privacybeleid binnen de onderneming.

Extra rechten voor het individu
Zoals aangehaald in de inleiding is een belangrijke beweegreden de bescherming van de rechten van natuurlijke personen (deels ingegeven door de opkomst van de sociale media en de verregaande profiling). Daarom heeft men de bestaande rechten uitgebreid en versterkt en voegt men nieuwe rechten toe. Dat houdt ook in dat uit deze rechten mogelijkheden voortvloeien die moeten worden ingepast in bestaande procedures.
– Expliciete toestemming is nodig voor direct marketing, persoonsgegevens, delen van gegevens met derden
– Breidt de rechten tot toegang en weigering uit
– Recht om vergeten te worden
– Recht om data te kunnen meenemen (‘data portability’) bij bijv. verandering van dienstverband

De introductie van megaboetes
Belangrijk is dat deze wetgeving ernstige boetes voorziet. De verwoording in de wet (significant, proportioneel, overtuigend) én de voorziene maxima (20 miljoen euro of 4% van de globale omzet) zijn nieuwigheden in verschillende Europese landen. De wet voorziet ook in de mogelijkheid tot audits door de bevoegde instanties (in België de privacycommissie en in Nederland de Autoriteit Persoonsgegevens).
Er kunnen boetes worden opgelegd, o.a. bij een datalek (dat u trouwens verplicht bent binnen 72 uur te melden!), als blijkt uit een audit dat u onzorgvuldig omspringt met gegevens of als blijkt dat u meer gegevens verzamelt dan strikt noodzakelijk is voor uw doel.

Vragen?
Bent u onzeker over de adequate IT-beveiliging van uw bedrijf?
Hebt u vragen over de concrete toepassing van GDPR op uw bedrijf?
Aarzel dan niet ons te contacteren!

Meer info
Stappenplan van de privacycommissie (BE):  https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN

Meer info privacycommissie (BE):  https://www.privacycommission.be/nl/algemene-verordening-gegevensbescherming-0

Meer info Autoriteit Persoonsgegevens (NL):  https://autoriteitpersoonsgegevens.nl/