De GDPR komt eraan... is jouw organisatie er klaar voor?

AVG/GDPR - Introductie

Op 25 mei 2018 is de GDPR van kracht. Doel is ieders persoonsgegevens beter te beschermen.

GDPR betekenis

25 mei 2018… een datum die steeds meer mensen bekend in de oren klinkt. Vanaf die dag is de nieuwe Algemene Verordening Gegevensbescherming van kracht (ook bekend als General Data Protection Regulation). Deze wetgeving is geïntroduceerd voor jou en mij; het geeft burgers namelijk meer controle over de manier waarop organisaties met persoonsgegevens omgaan. Tegelijkertijd is het iets wat voor bedrijven een serieuze aangelegenheid is. De wetgeving omtrent gegevensbescherming wordt versterkt en bedrijven moeten aan kunnen tonen dat ze compliant zijn met deze wetgeving. Kunnen ze dat niet? Dan hangt er een aanzienlijk hogere boete dan nu boven het hoofd. De komende periode willen wij je informeren over de impact die deze verordening. In deze eerste blog leggen we de basis en achtergrond uit, op wie het van toepassing is en welke zaken je wettelijk verplicht bent om te doen en regelen.

GDPR; een nieuwe verordening

General Data Protection Regulation (GDPR) is een Europese verordening. In Nederland heet het “Algemene Verordening Gegevensbescherming” (AVG). Een verordening is Europese wetgeving, waar alle staten binnen de EU zich aan moeten houden. De huidige regelgeving is een richtlijn (dus niet wetgevend) die ruim twintig jaar bestaat. In die periode speelden internet, de cloud, social media geen grote rol in ons leven en op het vlak van persoonsgegevens. Een heel andere tijd dus en daarom was de regelgeving aan herziening toe. Daarnaast bood de huidige regelgeving veel ruimte voor interpretatie, waardoor het per land anders uitgevoerd werd. De EU wilde uniformiseren hoe bedrijven met persoonsgegevens omgaan. Vandaar de nieuwe regelgeving.
De verordening draait om persoonsgegevens. Dit zijn alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Voor de hand liggend zijn naam, adres, e-maildres. Maar ook je IP-adres, foto en een nickname zijn persoonsgegevens.
 

Wanneer gaat de GDPR in?

GDPR wordt op 25 mei 2018 van kracht, maar de definitieve tekst is al anderhalf jaar beschikbaar. Deze anderhalf jaar is met name bedoeld om organisaties de gelegenheid te geven om zich voor te bereiden. In alle lidstaten is er een overheidsinstantie die verantwoordelijk is voor de administratieve afhandeling van GDPR-kwesties en voor het opleggen van boetes die voortvloeien uit niet-naleving. In Nederland is dat de Autoriteit persoonsgegevens.
 

Op wie is de GDPR van toepassing?

De GDPR geldt voor alle bedrijven, overheidsinstellingen, non-profitorganisaties en andere organisaties die “iets” met persoonsgegevens doen. Er wordt daarbij onderscheid gemaakt in 2 rollen:
  • De Verwerkingsverantwoordelijke; dit zijn de organisaties die in bezit zijn van de persoonsgegevens of dit uit hebben besteed aan andere organisaties;
  • De Verwerker: de organisatie die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Deze rolverdeling is belangrijk, omdat er een expliciete scheiding is in de taken en verantwoordelijkheden van beide rollen. Kort samengevat is de verantwoordelijke degene die het doel en de middelen van de verwerking bepaalt. De verwerker doet dit expliciet niet. Beiden sluiten een overeenkomst af om deze verdeling goed te beleggen.
 

Wat betekent de GDPR voor jouw organisatie? 

Elke organisatie moet de GDPR implementeren. Op de ene organisatie is de impact groter dan op de andere. Dat hangt af van hoe belangrijk het gebruik van persoonlijke gegevens is voor je corebusiness en welk type gegevens je verwerkt; standaard of bijzondere, zoals gezondheidsgegevens. Er worden namelijk veel hogere eisen aan gevoelige gegevens gesteld. Grotere bedrijven hebben het implementatieproces vaak al gestart met interne compliance officers of externe bureaus. In kleine tot middelgrote bedrijven zou dit moeten beginnen met het topmanagement, die de verantwoordelijkheid kan delegeren. Hoe dan ook moet de GDPR-implementatie de nodige aandacht krijgen, want er moeten dingen geregeld worden. Denk daarbij aan:
  • Jouw organisatie moet een verwerkingsregister bijhouden. Hierin wordt o.a. vastgelegd welke gegevens er verwerkt worden, met welk doel en welke beveiligingsmaatregelen getroffen zijn.
  • Ook moet je je privacyverklaring actualiseren. Er moet bijvoorbeeld expliciet en in begrijpelijke taal opgenomen worden hoe lang en waar je data bewaart.
  • Verder moet er een verwerkersovereenkomst worden gesloten met alle leveranciers en afnemers die persoonsgegevens voor je verwerken.
  • Bovendien kan toestemming van een klant nodig zijn wanneer diens persoonsgegevens worden verwerkt. Dit moet vastgelegd worden in een toestemmingsregister.
  • En tot slot, één van de belangrijk doelen van de GDPR: je moet ervoor zorgen dat de personen van wie je de gegevens verwerkt de volgende acties kunnen doen: 
    • Persoonsgegevens inkijken
    • Gegevens verbeteren of verwijderen
    • Direct marketingpraktijken weigeren
    • Geautomatiseerde besluitvorming en profilering weigeren
    • Gegevens overdragen naar andere leveranciers/bedrijven
Met de op handen zijnde introductie van GDPR is er dus werk aan de winkel! Vraag je af: Hoe ver is mijn bedrijf eigenlijk met de implementatie van GDPR? Wij organiseerden met Kentico op 7 december een gratis seminar over GDPR & Online Marketing. Tijdens de interactieve workshop kregen de deelnemers inzicht in de uitdagingen en oplossingen op het gebied van privacy en GDPR voor hun organisatie. Daarnaast waren er vakinhoudelijke professionals en ervaringsdeskundigen die hun visie gaven over de nieuwste ontwikkelingen op het gebied van online marketing. Houd onze website in de gaten, er zullen meer gratis seminars volgen!

DISCLAIMER: Alle gegevens en informatie in deze blogpost zijn alleen voor informatieve doeleinden. TrueLime geeft geen garanties met betrekking tot de nauwkeurigheid, volledigheid, actualiteit, geschiktheid of geldigheid van de hierin opgenomen informatie. We raden je aan een advocaat te raadplegen voor juridisch advies met betrekking tot GDPR-conformiteit.