1. Wat is de GDPR?
GDPR is de afkorting van General Data Protection Regulation (in het Nederlands AVG, Algemene Verordening Gegevensbescherming), de Europese wetgeving over het beschermen van persoonsgegevens die van toepassing wordt op 25 mei 2018 in alle Europese lidstaten.
2. Waarom de GDPR?
De GDPR is ontworpen om beperkingen op te leggen aan bedrijven die persoonsgegevens verzamelen en bevat bijna 100 artikels. Ze bevestigt bestaande beginselen van gegevensbescherming (bv. gegevensbeveiliging en minimalisatie), legt meer verregaande verplichtingen op aan bedrijven die persoonsgegevens verwerken en geeft in essentie natuurlijke personen meer rechten ten aanzien van hun persoonsgegevens. Op die manier hebben ze meer controle over of, wanneer, hoe en aan wie persoonsgegevens worden verstrekt en waarvoor die gegevens mogen worden gebruikt. De GDPR tracht ook een betere harmonisatie te bereiken van wetgeving inzake gegevensbescherming, omdat die wetgeving per lidstaat voorheen zeer sterk kon verschillen.
3. Voor wie is de GDPR?
De GDPR geldt voor alle bedrijven die op een geautomatiseerde of een gestructureerde manier persoonsgegevens verwerken. Persoonsgegevens zijn alle gegevens van natuurlijke personen die geïdentificeerd zijn (bv. een naam) of die identificeerbaar zijn (bv. een klantennummer). Bovendien verduidelijkt de GDPR dat gegevens zoals bijvoorbeeld online identificatoren (bv. IP-adressen) en genetische en biometrische gegevens eveneens persoonsgegevens zijn. Dus wanneer je ergens gegevens van natuurlijke personen, zoals (contactpersonen bij) klanten bijhoudt, moet je in regel zijn met de GDPR. De GDPR geldt dus voor alle Europese bedrijven - groot én klein - die gegevens van natuurlijke personen opslaan.
4. Wat staat er in de GDPR?
De GDPR breidt de verplichtingen voor bedrijven en de rechten voor natuurlijke personen aanzienlijk uit. Een greep uit het nieuwe assortiment:
Verantwoordelijkheid - De GDPR voert een aantal nieuwe verplichtingen voor bedrijven in, waarvan het overkoepelende beginsel van verantwoordelijkheid het belangrijkste is. Dit betekent dat je als bedrijf de GDPR niet alleen moet respecteren, maar ook zelf moet kunnen aantonen dat je dat doet. Dit principe verplicht bedrijven dus om hun beleid en initiatieven rond de verwerking van persoonsgegevens goed te documenteren.
Data Protection by Design & Default - Een aantal nieuwe verplichtingen en beginselen kunnen bedrijven helpen bij het nakomen van die verantwoordelijkheidsplicht. Zo zijn er de nieuwe beginselen van Data Protection by Design & Default. Deze beginselen verplichten bedrijven om te bezinnen vooraleer ze met gegevensverwerking beginnen. Bedrijven moeten reeds van bij de start van een project met verwerking van persoonsgegevens nadenken over hoe die gegevens kunnen worden beschermd (data protection by design). Wanneer bedrijven verschillende opties aanbieden in hun producten of diensten, moeten zij standaard de meest privacyvriendelijke optie instellen (data protection by default). Daarnaast houdt de GDPR voor sommige bedrijven ook een verplichting in om een register bij te houden van alle gegevens die zij verwerken. Bij gevoelige gegevensverwerkingen moeten ze ook een voorafgaande risicobeoordeling (data protection impact assessment) uitvoeren.
Transparantie - De GDPR zet ook in op een betere transparantie rond gegevensverwerking. Bedrijven moeten natuurlijke personen op begrijpelijke en op zeer uitgebreide manier informeren over de gegevens die ze over hen verwerken. Zo moet je als bedrijf onder meer informatie geven over de doeleinden waarvoor je de gegevens zal gebruiken, de bedrijven die de gegevens zullen ontvangen, de bewaarduur van de gegevens, enz.
Nieuwe en of meer uitgebreide rechten zoals het recht op overdraagbaarheid van gegevens en het recht op gegevenswissing - Onder bepaalde voorwaarden kunnen natuurlijke personen hun persoonsgegevens opvragen bij dienstverleners en zelfs vragen om de gegevens rechtstreeks aan een andere dienstverlener te bezorgen. Verder wordt ook het bestaande recht om het verwijderen van gegevens te vragen (right to be forgotten) versterkt. Bedrijven zijn dus in bepaalde gevallen verplicht gegevens te wissen als de persoon in kwestie daarom vraagt en als er geen andere motief voor verwerking bestaat.
Meldplicht bij datalekken - Ook op het vlak van beveiliging, breidt de GDPR de verplichtingen voor bedrijven uit, door onder meer een verplichting in te voeren om datalekken te melden. Bedrijven moeten een datalek melden binnen de 72 uur, tenzij het niet waarschijnlijk is dat het lek een risico inhoudt voor de verzamelde persoonsgegevens.
5. Wat als ik niet voldoe aan de GDPR?
Wie de GDPR overtreedt, riskeert boetes die kunnen oplopen tot 20 miljoen euro of 4 procent van de globale jaarlijkse omzet.
Nuttige Documenten
Download hier de officiële richtlijnen van de Commissie voor de bescherming van de persoonlijke levenssfeer:
Nuttige Links
Raadpleeg hier de officiële site van de Commissie voor de bescherming van de persoonlijke levenssfeer met betrekking tot de GDPR: