GDPR: de Europese vervanging van de Wet bescherming persoonsgegevens. Waar moet je op letten?

Vanaf volgend jaar gaat er een belangrijke wijziging plaatsvinden op het gebied van privacywetgeving. Op dat moment gaat namelijk de nieuwe Europese wetgeving gelden: de  EU General Data Protection Regulation (GDPR) of in het Nederlands de Algemene verordening gegevensbescherming (AVG). Om precies te zijn op 28 mei 2018, twee jaar nadat de verordening is gepubliceerd in het publicatieblad van de Europese Unie. De verordening geldt voor de gehele EU en brengt een aantal wijzigingen met zich mee, die impact hebben op alle bedrijven in de EU. Wij zijn in  de verordening gedoken en hebben de belangrijkste wijzigingen voor je op een rij gezet.

Meer rechten voor alle betrokkenen

Met de GDPR wordt de privacywetgeving een stuk breder. Ook de uitleg over hoe je als organisatie met privacy omgaat moet een stuk transparanter. Dit houdt onder andere in:

• Niet alleen NAW-gegevens vallen straks onder de wetgeving, ook IP-adressen, cookies, MAC-adressen of RFID-tags. Dit betekent dat al deze gegevens behandeld moeten worden met dezelfde gevoeligheid als iemands bankrekeningnummer.
• Gegevens die verzameld zijn moeten zo snel mogelijk worden verwijderd.
• Personen hebben het recht om hun gegevens op te vragen, en deze te wijzigen, aan te vullen of te verwijderen.
• Je privacyverklaring moet zo transparant mogelijk zijn. Er moet in staan dat personen terecht kunnen bij de Autoriteit Persoonsgegevens (AP) als ze klachten hebben over de gegevensverwerking.
• Het recht om gegevens onder bepaalde voorwaarden in een standaardformaat te ontvangen (recht op dataportabiliteit) is toegevoegd.

Documenteren wordt belangrijker

Alle verwerkingen van persoonsgegevens moeten volgend jaar gedocumenteerd zijn volgens de GDPR-standaarden. Dit gaat heel ver: niet alleen de klantgegevens moeten worden gedocumenteerd, ook zaken als je personeelsadministratie of andere documenten waarin persoonsgegevens staan moeten worden gedocumenteerd. Je moet daarbij aangeven waarom je de gegevens gebruikt. In een apart privacy beleid moet staan wie welke rol heeft bij de omgang met persoonsgegevens en er moet aangetoond kunnen worden dat je organisatie de veiligheid op orde heeft, bijvoorbeeld met een ISO27001 certificaat.

Voor datalekken gelden ook andere regels. Alle datalekken moeten intern worden gedocumenteerd, ook degene die je niet hoeft te melden aan de Autoriteit Persoonsgegevens.

Geen bewerkers-, maar verwerkersovereenkomst

In de GDPR heet een derde partij die gegevens bewerkt geen bewerker, maar een verwerker. Net als bij de huidige wet bescherming persoonsgegevens moet je hier een overeenkomst mee sluiten, een verwerkersovereenkomst. Met alle leveranciers en afnemers waar gegevens mee verwerkt worden moet er een overeenkomst worden afgesloten. Toestemming is hierin een belangrijk onderdeel, personen moeten duidelijk toestemming hebben gegeven en kunnen deze ook weer intrekken.

Privacy by design & privacy by default

Twee toevoegingen in de GDPR zijn de privacy by design en privacy by default. Privacy by design houdt in dat tijdens de ontwikkeling van producten en diensten er aandacht wordt besteed aan privacy verhogende systemen. Privacy by default betekent dat er rekening moet worden gehouden met dataminimalisatie: het verwerken van zo min mogelijk gegevens, dus alleen de noodzakelijke gegevens mogen worden verwerkt en alleen voor het specifieke doel als waar de dienst voor bedoeld is.

Privacy Officer verplicht (in sommige gevallen)

Wanneer er op grote schaal data wordt verwerkt, bijvoorbeeld bij ziekenhuizen, kan het verplicht zijn een privacy officer aan te stellen, intern of extern.

Privacy Impact Assessment

Wanneer er grote risico’s zitten aan de verwerking van de gegevens, moet er een Privacy Impact Assesment (PIA) of Data Protection Impact Assessment (DPIA) worden uitgevoerd volgens de GDPR. Deze assessments betekenen eigenlijk hetzelfde onder verschillende namen. Het assessment is in elk geval nodig bij onder andere profiling, wanneer op hele grote schaal gegevens worden verwerkt of wanneer er gegevens worden vergaard in een publiek toegankelijk gebied. Een werkgroep heeft een lijst van 10 criteria opgesteld om te bepalen wanneer er sprake is van een groot risico.

Buitenlandse samenwerkingen

Wanneer je organisatie meerdere vestigingen heeft of wanneer je met meerdere lidstaten zaken doet is het belangrijk dat er nog maar één leidende toezichthouder is. Controleer ook of leveranciers met buitenlandse partijen samenwerken en dat deze landen ook aan strikte privacywetgeving voldoen.

Toestemming en boetes

Het komt erop neer dat alle gegevensverwerking is gebaseerd op toestemming van je klanten en dat ze weten waar, hoe en wie hun gegevens gebruiken. En het moet duidelijk zijn dat personen deze toestemming ook weer kunnen intrekken.

Er komen enorme boetes te staan wanneer je je vanaf 28 mei 2018 niet aan de regels houdt. Op dit moment is de boete nog maximaal € 900.000, dat wordt maximaal € 20.000.000, of 4% van je wereldwijde omzet.

Aan de slag met de GDPR

Er gaat voor veel organisaties het een en ander veranderen. Op de website van de Autoriteit Persoonsgegevens kun je een schat aan gegevens vinden die je helpen je organisatie klaar te stomen voor de nieuwe regelgeving. Begin bijvoorbeeld met het 10 stappenplan naar de AVG (PDF).

Heb je in de tussentijd wat tijd over: dit is de volledige verordering.

Robert-Jan Budding - Robert-Jan is senior international marketer bij Savvii. Zijn interesses richten zich op technologie en digitale strategieën. Daardoor houd hij ervan bedrijven te laten groeien door gebruik te maken van de laatste technieken en schrijft daarover.