Wat is GDPR ( General Data Protection Regulation)?

gray clock

05 mei 17

comments

geen reactie

author

Xavier

GDPR is een afkorting. Het staat voor General Data Protection Regulation of in het Nederlands voor de Algemene Verordening Gegevensberscherming (AVG).

Dit is een geheel van regels (ongeveer een 100 artikels) zodat de gegevens van de Europese burger beter beschermd worden. Deze wetgeving werd eind 2015 goedgekeurd en is tweedelig.

  1. De Regulation is van toepassing voor de bedrijfswereld.
  2. De Directive is van toepassing voor overheidsdiensten. Officieel gaan deze regels volledig in voege mei 2018!

Vragen over GDPR? Onze specialisten helpen je graag verder! Contacteer ons.

Waarom GDPR ?

Het is een eigenlijke herziening van de Europese wetgeving uit 1995. Deze wetgeving werd door elke lidstaat verschillend opgevat, wat leidde tot onduidelijkheden. Daarenboven kon deze wetgeving wel wat updates gebruiken. Ontwikkelingen in de cloud en sociale media moeten bijvoorbeeld ook hierin geïmplementeerd worden. De GDPR tracht er voor te zorgen dat de wetgeving, met betrekking tot gegevensbescherming, uniformer wordt ten opzichte van de andere lidstaten. Vanaf  mei 2018 is er 1 legaal kader dat over heel Europa geldig is. Dit betekent dat wanneer bedrijven uitbreiden naar een andere Europese stad ook daar de reglementering dezelfde blijft.

Voor wie?

De GDPR is voor alle bedrijven die persoonsgegevens verwerken. Wat bedoelt men met persoonsgegevens? Dit zijn alle gegevens waarmee iemand geïdentificeerd kan worden. Dit mag in zeer ruime zin geïnterpreteerd worden. Dit betekent ook alle digitale gegevens van een persoon. Ook gebruikersnamen, tweets, IP-adres, … horen tot deze categorie.

Belangrijke key-points binnen GDPR:

Data Protection by Design & Default

Bedrijven moeten brainstormen alvorens een project van start gaat. Er moet nagedacht worden over de verwerking van persoonsgegevens. Hoe gaan ze deze gegevens beschermen? –data protection by design
Wanneer bedrijven verschillende producten / diensten aanbieden is het een vereiste dat deze standaard de meest privacy vriendelijke naar voren schuiven. –data protection by default

Hou er rekening mee dat verschillende bedrijven ook een log moeten bijhouden van de gegevens die zij verwerken. Zijn deze gegevens gevoelig, moeten ze hiervan vooraf een risicobeoordeling laten opmaken. Data protection impact assessment

Transparantie

Bedrijven moeten op een begrijpelijke manier de burgers informeren over de manier waarop data wordt verzameld en verwerkt. Welke zijn de doeleinden, Welke is de bewaarduur, enz. ?

Meer rechten mbt.overdraagbaarheid & gegevenswisseling

Dit betekent dat burgers hun gegevens van de ene dienstverlener naar de andere kunnen overdragen. Ook het recht om gegevens te verwijderen werd versterkt. Dit betekent dat in bepaalde gevallen bedrijven verplicht zijn om uw gegevens te wissen als hierom gevraagd wordt.

Meldplicht bij datalekken

Bedrijven zijn verplicht, bij een datalek, dit te melden binnen 72 uur. Tenzij het lek geen risico inhoudt voor de verzamelde persoonsgegevens.

Verantwoordelijkheid

Door de invoering van de GDPR moeten bedrijven nu verplicht hun verantwoordelijkheid gaan nemen. Enkele respecteren van de GDPR is niet meer voldoende. Als bedrijf moet je kunnen aantonen dat je aan alle regels voldoet. Dit verplicht bedrijven bepaalde procedures te gaan wijzigen die betrekking hebben op de verwerking van persoonsgegevens.

Sancties

De gevolgen bij het niet naleven van de GDPR regels zijn niet min. Boetes variëren. Wanneer een bedrijf belangrijke datalekken niet naar buiten brengt, geen risico assessments houdt of niet kan aantonen dat data volledig correct beheerd worden, riskeren ze boetes die oplopen tot 4% van de globale jaarlijkse omzet met een maximum van 20 miljoen euro.

Data Protection Officer

De GDPR zal ervoor zorgen dat heel wat grote bedrijven / overheidsinstellingen genoodzaakt zijn om een DPO (Data Protection Officer) aan te stellen. Deze persoon kan niet verantwoordelijk worden gesteld bij niet-naleving van deze regels. Het bedrijf / overheidsinstelling blijft verantwoordelijk.

Welke bedrijven zijn verplicht een DPO aan te nemen?

Dit zijn overheidsinstellingen en organisaties die strafrechtelijke data verwerken. Ook bedrijven die belast zijn met de verwerking van bijzondere categorieën van gevoelige gegevens zoals ras, religieuze overtuiging, gezondheidsgegevens, politieke voorkeuren, … Bekijk dus zeker of uw bedrijf verplicht een DPO dient aan te nemen. Desalniettemin is het aangewezen om iemand aan te stellen die de opvolging van de persoonsgegevens voor zijn rekening neemt.

Wie komt in aanmerking voor DPO?

Binnenin de GDPR staat niet uitgelegd wie wel of wie niet in aanmerking komt voor de DPO. Ook hoeft men hiervoor geen bepaalde studies of certificaten behalen. Het spreekt voor zich dat de persoon in kwestie deskundigheid op vlak van de wetgeving en de praktijk inzake gegevensberscherming moet voorleggen. Het is geen vereiste dat het iemand is die voor het bedrijf werkt. Dit betekent dat ook een externe persoon; namelijk een expert / consultant / freelancer, hiervoor in aanmerking komt.

 

Vragen over GDPR? Onze specialisten helpen je graag verder! Contacteer ons.

Loading...

Daag ons uit!

Daag ons uit met jouw project, laat het ons weten!