Gegevensbescherming privacywet 2018 GDPR

Wat je NU moet weten over de GDPR, de nieuwe privacywet

Vanaf 25 mei 2018 wordt de Nederlandse Wet Bescherming Persoonsgegevens vervangen door de Europa brede ‘General Data Protection Regulation’ (GDPR). Deze privacywet is vanaf dan van toepassing voor iedere inwoner van de Europese Unie en ieder bedrijf dat in de EU gevestigd is. Het overtreden van de wet kan je duur komen te staan. In deze blog zetten we de belangrijkste wijzigingen voor je op een rijtje en bespreken we een aantal belangrijke actiepunten.

Voor wie is het van toepassing?

Alle organisaties moeten aan de GDPR voldoen. Er worden wel strengere eisen gesteld aan organisaties die veel persoonsgegevens verwerken. De GDPR is een vordering, geen richtlijn.

De grootste wijzigingen na invoering van de GDPR

De eisen met betrekking tot ‘privacy notices’ worden aangescherpt. Dit heeft invloed op:

  • De bewaartermijn van persoonlijke gegevens
  • Het tonen van contactgegevens van de organisatie
  • Het tonen van contactgegevens van de ‘Data Protection Officer’

https://www.pauwr.nl/wp-content/uploads/2017/09/GDPR privacywet 2018

Data Protection Officer (DPO) aanstellen

Verwerkt jouw organisatie de gegevens van meer dan 5.000 personen per jaar? Dan moet je vanaf 26 mei 2018 een ‘Data Protection Officer’ (DPO) aanstellen. Deze DPO moet onafhankelijk zijn en de veiligheid van de persoonsgegevens binnen jouw organisatie waarborgen. De DPO wordt geacht kennis te hebben van privacywetgeving, informatiebeveiliging en risicomanagement.

Privacy by Design verplicht

Naast het aanstellen van een Data Protection Officer wordt ook ‘Privacy by Design’ verplicht. Privacysettings moeten met de nieuwe Europese wet standaard op het hoogste niveau worden ingesteld. Eventuele privacy risico’s moeten vooraf worden onderzocht en de gevonden oplossing moet periodiek worden getest om te kijken of maatregelen nog voldoen.

Voordat je gegevens mag verwerken moet de persoon in kwestie expliciet en op basis van volledige informatie akkoord gaan. Voor kinderen jonger dan 13 jaar moet een voogd / ouder deze toestemming geven. Belangrijk is dat persoonlijke informatie altijd te verwijderen moet zijn (‘Right to be Forgotten’) en dat men persoonlijke informatie altijd kan downloaden (‘Right to Download’).

Praktische zaken & actiepunten GDPR voor bedrijven

Toestemming vragen

Personen moeten, voordat hun persoonsgegevens verwerkt mogen worden, hiervoor expliciet toestemming verlenen. Belangrijk is te weten dat toestemming verlenen gezien wordt als een actieve handeling. Dit houdt concreet in dat je geen ‘vooraf aangevinkte’ hokjes meer mag gebruiken. De vraag om toestemming moet daarnaast duidelijk, begrijpelijk en in eenvoudige taal worden gepresenteerd, zodat het voor iedereen begrijpelijk is. Vraag je toestemming voor meerdere doeleinden? Dat mag niet langer. Hier moet je apart naar vragen.

Om te controleren of binnen jouw organisatie alles volgens het boekje verloopt moet je de verkregen toestemming kunnen bewijzen. Data hiervan moet je dus goed bewaren. En last but not least; personen hebben altijd het recht om toestemming in te trekken. Je dient hen ook te wijzen op deze mogelijkheid.

Verwerking van persoonsgegevens

De verwerking van persoonsgegevens moet aan een aantal voorwaarden voldoen. Allereerst moeten persoonsgegevens op een behoorlijke, rechtmatige en transparante manier worden verwerkt. Daarnaast mogen persoonsgegevens alleen voor een bepaald – uitdrukkelijk omschreven – doel worden verwerkt. Enkel die gegevens die noodzakelijk zijn voor het doel mogen worden verwerkt. Deze gegevens moeten correct en actueel zijn.

Is identificatie niet meer nodig? Verwijder of anonimiseer persoonsgegevens dan. Heb je de gegevens nog wel nodig? Beveilig deze persoonsgegevens dan goed, bijvoorbeeld met een encryptie.

Transparantie

Binnen de wet staat transparantie voorop. Het is belangrijk dat je personen informeert over wat er met hun persoonsgegevens gebeurt; wederom in duidelijke en eenvoudige taal. Personen hebben recht op verzet, inzage en rectificatie van de data. Daarnaast hebben personen het recht:

  • Om vergeten te worden
  • Op overdraagbaarheid van data
  • Om verwerking te beperken
  • Om bezwaar te maken tegen bepaalde verwerkingen (inclusief direct marketing doeleinden)

Al deze rechten moeten in het privacy statement van jouw organisatie zijn opgenomen.

Administratieplicht

Tot slot ben je als organisatie, in het kader van de administratieplicht, verplicht aan te tonen dat je aan de GDPR voldoet. Belangrijk hierbinnen is dat jouw systeem zo ontworpen is dat de privacy van betrokkenen zo goed mogelijk beschermd wordt (‘Privacy by Design’). Daarnaast moeten de standaardinstellingen van het systeem zo privacyvriendelijk mogelijk worden ingericht en worden er niet meer data verzameld dan noodzakelijk (‘Privacy by Default’).

Een nieuwe wetgeving, GDPR wat nu?

In essentie moeten dus alle organisaties een dataregister bijhouden met daarin alle verwerkingen van persoonsgegevens. Ook moet de organisatie kijken naar welke verwerkingen er moeten worden doorgegeven aan Autoriteit Persoonsgegevens. Denk hierbij ook aan een procedure voor datalekken en een verwerkersovereenkomst met onderaannemers.

Wat is de rol van bureaus?

Bureaus voor e-mail, online marketing, reclame, media, webdevelopment e.d. vallen in de categorie ‘verwerkers’. Bij het inschakelen van verwerkers door de verwerkingsverantwoordelijke (de klant / adverteerder) is het belangrijkste uitgangspunt dat de verwerkers voldoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden. Op deze manier is aan te tonen dat de verwerking aan de vereisten voldoen en de bescherming van de rechten van de betrokkene is gewaarborgd.

GDPR, wat moet je nu doen?

Waar vraagt jouw bedrijf om toestemming? Zou je dat op andere plaatsen eigenlijk opnieuw moeten doen? Is jouw personeel al getraind en heb je een compliance procedure vastgelegd? Zet een volledig documentatiesysteem op om aan te tonen hoe jullie met de privacywet omgaan.

Loop de lijst met vereisten goed langs en voorkom problemen met de GDPR in 2018. Meer weten? Richt je dan tot een gespecialiseerde jurist.

Rating: 3.5. From 11 votes.
Please wait...
2 antwoorden
  1. Patrick Jordens
    Patrick Jordens zegt:

    Ik zou wel adviseren het onderdeel dat als laatste in het artikel wordt genoemd (en een beetje als “tot slot nog even dit”) heel serieus te nemen. Alle verwerkingsveranwoordelijken (bedrijven die een database met persoonsgegevens onderhouden/opbouwen) en verwerkers (vaak leveranciers die in opdracht persoonsgegevens verwerken) dienen een register aan te houden met daarin alle verwerkingen van persoonsgegevens in hun organisatie. Het inventariseren van verwerkingen en het registreren ervan kan heel erg veel tijd kosten (als je al weet wat je moet doen) en het zal één van de eerste zaken zijn die de Autoriteit Persoonsgegevens zal opvragen bij een organisatie. Die moet dus echt klaar liggen in mei van 2018.

    No votes yet.
    Please wait...
    Beantwoorden
    • Anouk van Leeuwen
      Anouk van Leeuwen zegt:

      Hi Patrick. Dank voor je reactie! Dit is inderdaad zeer belangrijk. Vandaar dat we het onder de alinea hebben gezet ‘wat men nu moet doen’. Dank voor het benadrukken en extra toelichten van het belang van dit onderdeel!

      No votes yet.
      Please wait...
      Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *