GDPR: Is uw organisatie er klaar voor?

Wat-is-GDPR-en-wat-betekent-dit-voor-uw-organisatie

? Geschatte leestijd: 10 minuten. 

Op 25 mei 2018 gaat de nieuwe privacywet GDPR van kracht en is hiermee de opvolger van de Wet bescherming persoonsgegevens (Wbp). Wat is de GDPR en wat zijn de verschillen met de huidige Wbp? In deze blog geven wij daar antwoord op en leggen uit wat deze richtlijn voor uw organisatie betekent.

Wat is GDPR?

GDPR staat voor General Data Protection Regulation. GDRP is een nieuwe Europese wetgeving en geïntroduceerd door de lidstaten van de Europese Unie. Het doel van deze wet is het beschermen van persoonsgegevens van de EU-burger. De GDPR-wetgeving vervangt de Europese databeschermingsrichtlijn uit 1995. Deze richtlijn is inmiddels verouderd en sluit niet meer aan bij de hedendaagse moderne cloud technologie en sociale media. In Nederland zijn wij een voorloper op het gebied van databescherming, zo blijkt uit de wet Wbp die op 1 september 2001 van kracht is gegaan. Deze nieuwe GDPR is dan ook geen ingrijpende verandering voor Nederlandse bedrijven. U kunt het zien als een inhoudelijke wijziging en aanvulling op de Wbp.

De Nederlandse benaming voor de GDPR is AVG (Algemene Verordening Persoonsgegevens). De AVG zal net als de GDPR op 25 mei aanstaande van kracht gaan.

Voor wie is de GDPR?

Een veel gehoorde misvatting is dat de wetgeving enkel zou gelden voor grote ondernemingen, maar GDPR geldt voor alle bedrijven die, onafhankelijk van hun grootte, onder deze criteria vallen:

  • Bedrijven gevestigd in de EU
  • Bedrijven gevestigd buiten de EU, maar goederen en/of diensten leveren aan EU burgers
  • Bedrijven welke persoonlijke gegevens verzamelen en/of het gedrag monitoren van EU burgers

Rollen binnen de GDPR

In deze wet wordt specifiek de nadruk gelegd op twee rollen welke bedrijven hebben bij de omgang van persoonsgegevens, namelijk:

  • Bedrijven die in bezit zijn van persoonsgegevens of de opdracht hebben uitbesteed om persoonsgegevens te verwerken. Deze worden volgens de wet ook wel data controllers of verantwoordelijke genoemd.
  • Bedrijven die persoonsgegevens verwerken ongeacht of de verwerking op papier of in computerbestanden gebeurt. Verwerken is een heel ruim begrip: het omvat het gehele proces van verkrijgen, combineren, bewerken, opslaan, doorgeven tot vernietigen van gegevens.  Verwerkt uw organisatie persoonsgegevens dan bent u volgens de wet een verwerker.

Waarom komt de GDPR er?

De reden is tweeledig. Enerzijds is de GDPR ontworpen om persoonsgegevens beter te beschermen in de digitale wereld waarin we leven. Zo vervangt deze wet alle (verouderde) individuele wetten en regels van de EU op het gebied van databescherming. Deze wet, bestaande uit vijftig artikelen, beschrijft het recht van de EU-burgers om zelf te bepalen aan wie zijn of haar persoonsgegevens en informatie worden verstrekt en waartoe die gegevens mogen worden gebruikt.

Anderzijds zou het samenbrengen van alle individuele wetten in Europa omtrent databescherming gemakkelijker en overzichtelijker moeten zijn voor zowel overheden als ook het bedrijfsleven.

Hoe zit het met Wbp en Meldplicht datalekken?

In Nederland lopen wij voor op veel Europese landen ten aanzien van databescherming. Zo kennen wij de wetten Wbp en Meldplicht datalekken. Maar wat gebeurt er met deze bestaande wetten als GDPR van kracht wordt?

Wet bescherming persoonsgegevens

De huidige privacywetgeving van Nederland zal van kracht blijven tot 25 mei 2018. Vanaf deze datum zal de GDPR in werking gaan. Ieder bedrijf in de EU, die persoonsgegevens verwerkt, zal zich aan de nieuwe wet moeten houden.

Meldplicht datalekken

Hoe zit het met de wet Meldplicht datalekken? Blijft deze bestaan onder de GDPR? Ja, de meldplicht zal blijven bestaan onder GDPR. Echter zijn er een aantal inhoudelijke aanpassingen gedaan. De verwerker is onder de GDPR verplicht een datalek te melden aan de verantwoordelijke (bijvoorbeeld een opdrachtgever). De verantwoordelijke hoeft pas een melding te doen bij de toezichthouder wanneer er daadwerkelijk een lek heeft plaatsgevonden. In de huidige situatie onder de Wbp moet u al een melding doen als u niet kunt uitsluiten dat er een onrechtmatige verwerking van persoonsgegevens heeft plaatsgevonden.

Wat betekent het niet naleven van GDPR?

Bedrijven die niet voldoen aan de GDPR wetgeving worden zwaar gestraft met sancties door de toezichthouder van deze wet. Deze toezichthouder zal per lidstaat anders zijn, voor Nederland is dit de Autoriteit Persoonsgegevens (AP). Blijkt nu dat uw organisatie de persoonsgegevens niet correct beheert, dat u een datalek niet meldt of uw bedrijf geen risico-assessment houdt, dan kan de boete oplopen tot 2 procent van uw jaarlijkse omzet. Bij een ernstige misstap kan dit bedrag tot maar liefst 4 procent van uw omzet oplopen, met een maximum van 20 miljoen euro.

GBPR en Wbp: De inhoudelijke wijzigingen

Het grootste verschil tussen de GBPR en Wbp zit in de wederzijdse verplichtingen van de verwerker en de verantwoordelijke. GBPR stelt nu ook strenge verplichtingen aan de verantwoordelijke van de persoonsgegevens.

Hieronder ziet u de belangrijkste inhoudelijke verschillen ten aanzien van de verplichtingen voor zowel verwerker als verantwoordelijke:

Voor de Verantwoordelijke:

  • Uw informatiesystemen en diensten dienen rekening te houden met de “Privacy by Design & Default”.
  • Als verantwoordelijke van de persoonsgegevens hebt u nu ook een documentatieplicht.
  • Overheidsinstanties of bedrijven die bijvoorbeeld reisinformatie of patiëntgegevens binnen in een ziekenhuis verwerken zijn verplicht een functionaris voor de gegevensbescherming in te schakelen.
  • Als de verwerker een hoog privacy risico loopt is de verantwoordelijke verplicht een DPIA (Data Protection Impact Assessment) uit te voeren bij de verwerker.
  • U dient rekening te houden met nieuwe regels die gelden voor het verkrijgen van goedkeuring voor het gebruik van persoonsgegevens.

Voor de Verwerker:

  • Het treffen van adequate beveiligingsmaatregelen (waaronder het uitvoeren van periodieke beveiligingstesten).
  • Sub-bewerkers mogen niet worden ingeschakeld door de verwerker als dit niet overeengekomen is met de verantwoordelijke van de persoonsgegevens.
  • Het voldoen aan de vereisten voor doorgifte aan derde landen.
  • De verwerker heeft net als de verantwoordelijke een documentatieplicht.
  • Als verwerker dient u transparant te zijn, u zult uw relaties moeten informeren over de manier waarop u de data verzamelt en verwerkt.

Ondanks de strengere straffen is 54% van de organisaties nog niet begonnen met het voorbereiden op de GDPR. Als ook uw organisatie haar strategie nog niet op orde heeft om tot een compliance te komen, kunt u het beste nu beginnen.

Hoe kunt u zich voorbereiden?

Wilt u straks klaar zijn voor de GDPR dan zult u als organisatie stappen moeten ondernemen. Om u daarbij te helpen heeft de Autoriteit Persoonsgegevens een stappenplan opgesteld.  Het stappenplan vindt u hier.

Lastig? Wij helpen u graag!

Vindt u het lastig om de juiste aanpak of strategie vorm te geven ? Onze accountmanagers zijn goed geïnformeerd over de GDPR privacy wetgeving en willen u graag hiermee helpen en waar nodig ondersteunen. Neem geheel vrijblijvend contact met ons op door het contactformulier in te vullen.