GDPR | General Data Protection Regulation | 11 hoofdzaken

General Data Protection Regulation: 11 issues

Geschreven door

Passionned Group is dé specialist in datagedreven werken. Onze bevlogen en ervaren consultants helpen grotere en kleinere organisaties bij de kanteling naar een intelligente, datagedreven organisatie. Om het jaar organiseren wij de prestigieuze prijs voor de Slimste organisatie van Nederland.

GDPR heeft een blijvende impact

De wereld van informatietechnologie en datamanagement is altijd in beweging. De wet- en regelgeving hobbelt hier meestal achter aan. Hier zijn we inmiddels wel gewend aan geraakt. Sinds 25 mei 2018 is echter de Algemene verordening gegevensbescherming (AVG) van toepassing, ook wel GDPR genoemd. Dat betekent dat sindsdien in de hele Europese Unie dezelfde privacywetgeving geldt. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer.

Organisaties moeten volgens de GDPR op een verantwoorde manier omgaan met de persoonsgegevens van hun personeel, klanten of de mensen aan wie zij een dienst verlenen. Zij hebben tevens een verantwoordingsplicht. Zo moeten ze bijvoorbeeld niet alleen goed vastleggen welke gegevens zij verwerken, met welk doel, hoe lang zij die gegevens bewaren, maar ook bevestigen dat zij de gegevens goed beveiligen en met wie ze de gegevens delen.

Wat is de GDPR?

Heel simpel gezegd is het een harmonisatie op het gebied van dataveiligheid tussen alle staten binnen de Europese Unie (EU). De GDPR bestaat uit een regulation die geldt voor het bedrijfsleven en een directive die geldt voor overheidsdiensten. Omdat het een regulation is, is die direct van kracht geworden in alle lidstaten sinds mei 2018. Voor die tijd moesten alle organisaties hieraan voldoen. Heb je naast je operationele systemen een datawarehouse met persoonlijke gegevens of doe je aan business intelligence predictive analytics, dan heb je waarschijnlijk nog steeds veel te onderhouden de komende tijd.

Waarom GDPR?

Het doel is om alle individuele wetten en regels van EU-lidstaten op het gebied van databescherming samen te brengen en met elkaar te harmoniseren. Dit biedt betere bescherming aan EU-burgers en is bovendien makkelijker en overzichtelijker voor zowel overheden alsook het bedrijfsleven.

Wat moet je als bedrijf weten?

Het is ingewikkelde wetgeving. Daarom zetten wij de 11 belangrijkste punten, waar jouw organisatie sinds mei 2018 aan moet voldoen, nog eens voor jou op een rij. Vooral de interim CIO, de IT-manager en de informatiemanager moeten precies weten wat de regels inhouden en hoe ze hieraan blijvend kunnen voldoen.

1. De GDPR geldt voor iedereen

Elk bedrijf wereldwijd dat persoonlijke data verwerkt van EU-burgers moet aan de wetgeving voldoen. De EU heeft vele import- en exportrelaties met de grootste economieën ter wereld. Je voelt direct al aan hoe groot en breed de impact is wereldwijd. Ook een familiebedrijfje in de VS met Europese klanten krijgt namelijk met de GDPR te maken.

2. Definitie van persoonlijke data is verbreed

Onder de GDPR is ieder type data dat je gebruikt om iemand te identificeren persoonlijke data. Hieronder vallen voor het eerst ook genetische, mentale, culturele, economische en sociale kenmerken. Delen van jouw IT krijgen straks te maken met databeschermingswetgeving waar dit eerder nog niet zo was.

3.  Er gelden strengere regels voor toestemming

Dit is een van de grootste uitdagingen. Je moet bewijzen dat je geldige en duidelijke toestemming hebt voor het gebruik van persoonlijke informatie. Transparantie is het toverwoord. Enkele tips in dit verband zijn:

  • Gebruik simpele taal bij het vragen van toestemming voor het gebruik van persoonlijke data.
  • Wees duidelijk over wat je met de informatie doet.
  • Zwijgende toestemming is volgens de nieuwe wet niet langer een geldige toestemming

Voldoe je niet aan de nieuwe regels, dan hebben de autoriteiten het recht om je dataverwerkingsactiviteiten te stoppen. Dit vergt omvangrijke aanpassingen voor organisaties want veel van de huidige methoden zijn nog steeds onvoldoende.

4. Burgers hebben recht van data-overdracht

Burgers mogen hun data overdragen van jou naar een andere dienstverlener. Bereid jouw systemen hier op voor.

5. Data Protection Officer is verplicht voor bepaalde organisaties

Alle publieke instellingen en andere organisatie die dataverwerking en monitoring op grote schaal toepassen voor hun kernactiviteiten, moeten verplicht een data protection officer (DPO) aanstellen. In Europa alleen al zijn er 28.000 DPO’s nodig (bron: https://www.itgovernance.co.uk/blog/eu-gdpr-requires-an-estimated-28000-data-protection-officers-across-europe).

6. Privacy Impact Assessment is verplicht

Gegevensbeheerders inventariseren de risico’s op privacylekken via verplichte Privacy Impact Assessments (PIAs) alvorens ze een project starten. Samen met jouw nieuwe DPO zorgen de beheerders ervoor dat jullie altijd aan de PIA-eisen voldoen.

7. Datalekken moet je onverwijld verplicht melden

Als er een datalek ontstaat bij jouw bedrijf, moet je dit binnen 72 uur melden. Of je toont aan dat er absoluut geen gevaar is voor alle door jou verzamelde persoonlijke data.

8. Burgers hebben het recht om vergeten te worden

Vergeet meAls iemand vraagt om zijn of haar persoonsgegevens te wissen, dan ben je in principe verplicht dit verzoek in te willigen. Ook al deelde je die data al met derde partijen. Bovendien mag je data niet langer vasthouden dan absoluut noodzakelijk. Ook mag je niet het doel van die data veranderen ten opzichte van datgene waarvoor jij het verzamelde. Zet dus in op processen optimaliseren in jouw organisatie en richt je processen in om hiermee om te gaan.

9. Er geldt een bredere aansprakelijkheid

Sinds 2018 is ieder bedrijf dat met een vorm van persoonlijke data werkt verantwoordelijk en aansprakelijkheid hiervoor. En dus moet iedere organisatie voldoen aan alle regels omtrent het omgaan met data.

10. Houd rekening met privacy in al jouw ontwerpen

Al jouw software, systemen en processen moeten in hun ontwerp al rekening houden met de GDPR-regels voor databescherming. Privacy by design heet dat. Informeer jouw IT afdeling maar vast.

11. Europese autoriteit houdt toezicht

Er is geen ontsnappen aan de lange arm van de Europese Data Protectie-autoriteit. Die handhaaft de regels, ongeacht waar jouw bedrijf zich bevindt. En hou je hier aan, want de boetes zijn fors.

Ondanks al die veranderingen is het grote voordeel dat jij als internationaal bedrijf nog maar met één autoriteit te maken hebt in plaats van 28 aparte lidstaten. Simpeler, goedkoper en sneller. Daarnaast zijn wij natuurlijk ook allemaal EU-burgers en is het fijn om te weten dat onze persoonlijke gegevens straks nog beter worden beschermd.

Wil jij jouw organisatie checken op GDPR en de bedreigingen van de AVG omzetten naar kansen? Wil je ook optimale databescherming bieden aan jouw klanten? Neem dan nu contact met ons op.

Reageer op dit artikel van Dick Pouw

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Een selectie van onze klanten

Word nu ook klant

Wil je ook klant bij ons worden? Wij helpen je maar wat graag verder met gdpr (general data protection regulation) of andere zaken waar je slimmer van wordt.

Daan van Beek, Managing Director

DAAN VAN BEEK MSc

Managing Director

neem contact met mij op

Fact sheet

Organisaties geholpen
16968
Trainingen & workshops
16969
Deelnemers opgeleid
16970
Beoordeling klanten
8,9
Consultants & docenten
16971
Kantoren
3
Jaar ervaring
14