GDPR

Het is GDPR (General Data Protection Regulation) webinar week bij Microsoft waar alle ins en outs rondom data en beveiliging worden gedeeld. Hier haken wij graag op in met deze blog waarin we antwoord geven op de vragen die ons het vaakst gesteld worden met betrekking tot deze nieuwe regelgeving.

1. Wat is GDPR?

The General Data Protection Regulation (GDPR) is de nieuwe Europese privacy verordening ter bescherming van persoonsgegevens en privacy van burgers. Door organisaties te dwingen voorzichtig om te gaan met data wil de Europese Unie haar burgers beschermen tegen verlies en diefstal van persoonsgegevens.

Per 25 mei 2018 geldt deze nieuwe privacywet- en regelgeving binnen de hele Europese Unie. Alle bedrijven die actief zijn in de EU moeten voldoen aan de GDPR. De Nederlandse benaming van GDPR is de Algemene verordening gegevensbescherming (AVG). Aan organisaties de taak om per 25 mei 2018 compliant te zijn met de AVG-regelgeving.

2. Wat is de aanleiding voor deze nieuwe wetgeving?

Het recht op privacy is het recht om zelf te kunnen bepalen wie welke informatie over u te zien krijgt. De bescherming van onze ‘persoonlijke levenssfeer’ is zelfs in de Grondwet geregeld. Maar onze privacy staat onder druk. De digitale transformatie zorgt voor enorme verzamelingen aan data van organisaties en klanten. Vaak zonder dat deze klanten en organisaties daar toestemming voor hebben gegeven.

De huidige privacywetgeving kan de snelheid van de digitale transformatie niet bijbenen. Veel regelgeving is nog gebaseerd op privacyrichtlijnen uit de vorige eeuw. Zo ook de in Nederland geldende Wet bescherming persoonsgegevens (Wbp). Deze regelgeving sluit niet meer aan bij onze huidige digitale wereld en is niet meer afdoende om de privacy van burgers te beschermen. De vernieuwde privacywetgeving dwingt organisaties om na te denken over een passende beveiliging van persoonsgegevens.

3. Wat zijn de belangrijkste richtlijnen voor GDPR?

  • U mag persoonsgegevens alleen gebruiken voor het doel waar de informatie oorspronkelijk voor is verzameld.
  • U moet exact weten welke bestanden met persoonsgegevens u beheert en in bezit heeft.
  • U moet vastleggen hoe u bij de verwerking van persoonsgegevens de beveiliging van deze gegevens waarborgt.
  • U moet weten welke rechten de personen hebben van wie u gegevens in bezit heeft.
  • Voor projecten waarbij gewerkt wordt met persoonsgegevens moet vooraf een inschatting van de risico’s gedaan worden (Privacy impact assessment).
  • U kunt verplicht zijn een functionaris voor de gegevensbescherming aan te stellen.
  • U moet de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van uw systemen en diensten kunnen garanderen.

4. Wat zijn de gevolgen als wij niets doen?

Organisaties die zich niet aan de nieuwe regelgeving houden, zijn straks strafbaar. En de boetes die de Autoriteit Persoonsgegevens (AP: het uitvoerend orgaan van de AVG) kan opleggen, zijn niet mals. Bij ernstige overtredingen kan dat zelfs oplopen tot € 20 miljoen of 4% van uw wereldwijde omzet. Het AP roept organisaties daarom op om vandaag nog te beginnen met de voorbereiding om straks op tijd te voldoen aan de AVG. Het aftellen is dus ook voor uw organisatie begonnen.

5. Wat is de impact van GDPR op mijn bedrijfsvoering?

De Algemene verordening gegevensbescherming kent veel nieuwe of aangescherpte regels. Allemaal met als doel organisaties te dwingen verantwoord om te gaan met privacygevoelige informatie. Vergeleken met de Wbp legt de AVG andere accenten. Veel hiervan hebben grote impact op uw bedrijfsvoering. De belangrijkste zetten wij hieronder voor u op een rij.

Toestemming

De AVG is strikter dan de Wbp als het gaat om het vragen van toestemming voor het verzamelen en verwerken van persoonsgegevens. Geen enkele manier van verwerking is toegestaan, zonder expliciete en vrijwillig gegeven toestemming door betrokkenen (degenen van wie persoonsgegevens worden verwerkt). Het verzoek om toestemming moet ondubbelzinnig duidelijk maken voor welk doel de verwerking is. U moet als uitvrager van de gegevens deze toestemming vastleggen en u mag de gegevens uitsluitend gebruiken voor het doel waarvoor de informatie is verzameld.

Data portabiliteit

Nieuw is het recht op data portabiliteit, oftewel overdraagbaarheid van persoonsgegevens. De betrokkene heeft het recht om de persoonsgegevens te ontvangen welke u als organisatie van deze persoon heeft. Vervolgens kan de betrokkene deze gegevens opslaan voor persoonlijk (her)gebruik of

zelf doorgeven aan een andere organisatie. U mag betrokkenen hierin niet tegenwerken en u moet ervoor zorgen dat de gegevens makkelijk en in leesbare vorm overdraagbaar zijn.

Documentatieplicht

U bent straks verplicht om exact te weten welke data u verzamelt en beheert en waar deze data zich binnen uw organisatie bevindt. Tevens moet zijn vastgelegd hoe u bij de verwerking van persoonsgegevens de beveiliging van deze gegevens waarborgt. Ook de toestemming waarmee deze data is verkregen moet zijn vastgelegd, evenals het doel waarvoor u de gegevens heeft verzameld. Bovendien moet u toezien op de juistheid van beschikbare gegevens. Deze mogen tijdens verwerking niet worden gewijzigd.

Privacy en Design

De AVG dwingt ‘privacy en design’ en ‘privacy bij default’ af. Dit betekent dat bij de ontwikkeling van een nieuw product of dienst al vooraf rekening gehouden moet worden met de bescherming van privacygevoelige informatie. Dat houdt onder andere in dat u moet weten welke rechten de persoon heeft van wie u gegevens in bezit heeft, of wilt gaan verzamelen. Een belangrijk onderdeel hierbij is de Privacy Impact Assessment (PIA) of de Data Protection Impact Assessment (DPIA). Hiermee dient bij iedere wijziging of nieuwe dienst duidelijk gemaakt te worden wat de impact is op de bescherming van persoonsgegevens.

Awareness

De AVG gaat uit van een zekere mate van security awareness binnen uw organisatie. Dat houdt in dat iedereen binnen de organisatie zich ervan bewust moet zijn dat er met privacygevoelige informatie gewerkt wordt. En dat men op de hoogte is van de impact van een eventueel datalekken.

Is deze awareness niet of in onvoldoende mate binnen uw organisatie aanwezig, dan kan Prodware u hier in helpen. Neem hiervoor contact met ons op.

 

Het is essentieel dat u de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van uw systemen en -(cloud)diensten kunt garanderen. Mocht er onverhoopt een datalek of controle plaatsvinden, dan worden investeringen en maatregelen die u als organisatie heeft getroffen op het gebied van databeveiliging meegewogen in het bepalen van de hoogte van een eventuele boete.

Om in lijn te komen met de AVG is voor veel organisaties nog een lange voorbereiding nodig. De aangescherpte regels dwingen organisaties vooral om een strakke workflow te hanteren als het gaat om het verzamelen, beheren en gebruiken van data. Van het treffen tot de juiste technische maatregelen tot het vastleggen van de processen voor dataverwerking. Privacy moet altijd het uitgangspunt zijn.