GDPR: Privacy regels van de EU: reden voor paniek of valt het allemaal wel mee?
Als consultant en lid van het ICT sectorteam bij Leap The Innovation Agency, spreek ik verschillende bedrijven in en om de ICT. Daarnaast verdiep ik mij dagelijks in sociale media en nieuwsartikelen, op zoek naar nieuwe technieken en innovaties. De laatste tijd kom ik in het nieuws steeds vaker berichten tegen over de aankomende Europese privacywetgeving. Wij zijn veel met deze wetgeving bezig geweest tijdens de ontwikkeling van onze WBSO-portal. Hierdoor zijn we inmiddels goed op de hoogte van de eisen waar bedrijven binnenkort aan moeten voldoen. De komst van de General Data Protection Regulation (GDPR) zal voor de meeste mensen geen verassing meer zijn, maar toch merk ik dat er bij velen toch wat onduidelijkheid over dit onderwerp heerst.
Hoe komt het nu dat veel mensen weten dat de GDPR – in het Nederlands ook bekend als de minder gebruikte term Algemene Verordening Gegevensbescherming (AVG) – steeds dichterbij komt, maar slechts een klein deel van deze groep lijkt te beseffen dat er ook daadwerkelijk iets moet gebeuren. Is deze nieuwe wetgeving nu echt zo ingrijpend als de media ons doen geloven?
Wat is de GDPR
Laten we even een stapje terug gaan. Wat is nu precies de GDPR en wat houdt deze wetgeving in? De GDPR gaat over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. Binnen Europa is de GDPR bedoeld om één uniform beleid in te voeren voor de beveiliging en het beheer van persoonlijke data. Die persoonsgegevens worden in de tekst van de richtlijn gedefinieerd als; alle gegevens die direct of indirect herleidbaar zijn tot een specifiek natuurlijk persoon. Denk hierbij onder andere aan cookies, patiëntendossiers, klantenlijsten en adressenlijsten voor nieuwsbrieven. Hierdoor heeft deze wet zo’n grote impact op heel veel grote en kleine organisaties.
Deze verordening vervangt de databeschermingsrichtlijn uit 1995, die geen aansluiting meer heeft met de huidige digitale wereld. De GDPR is geïntroduceerd in mei 2016 en van organisaties wordt verwacht dat zij vanaf dat moment de bedrijfsvoering GDPR-compliant maken. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen – dus ook de natuurlijke personen – organisaties op de naleving van de GDPR aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste boete geldt.
De 7 principes van de GDPR
De GDPR is gebaseerd op de volgende 7 principes:
- transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten;
- doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden;
- gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld;
- juistheid: de persoonsgegevens moeten correct zijn en blijven;
- bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel;
- integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging;
- verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.
Wat is de impact van de GDPR op bedrijven
Rond komst van de GDPR gebeurt (bijna) hetzelfde als bij de komst van de Wet Meldplicht Datalekken. Er wordt veel over gesproken, maar in de markt zie je over het algemeen een afwachtende houding. De meeste ondernemers kijken naar oplossingen en elkaar, maar zolang er geen duidelijke jurisprudentie over bestaat, zullen slechts enkele bedrijven een oplossing kunnen bieden op het moment dat de GDPR – en de bijbehorende boetes – een feit worden. Maar wat is nu precies de impact van deze wetgeving op bedrijven? Wat moeten zij anders doen?
Door de GDPR krijgen natuurlijke personen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun Europese privacy rechten worden namelijk versterkt en uitgebreid. In deze Europese privacywetgeving staat hoe u geldige toestemming krijgt van mensen om hun persoonsgegevens te verwerken. Daarnaast moet het voor die mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Personen hebben al het recht om een bedrijf te vragen hun persoonsgegevens te verwijderen, maar met de GDPR kunnen zij daarnaast van het bedrijf eisen dat zij de verwijdering doorgeven aan alle andere derde partijen die deze gegevens hebben ontvangen. Ook hebben personen straks (onder bepaalde voorwaarden) het recht om van het bedrijf hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat een bedrijf hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener.
Het komt erop neer dat bedrijven die persoonsgegevens verwerken meer verplichtingen krijgen. Voor bedrijven is het dus van groot belang om het beheer van persoonsgegevens op orde te hebben. Dit houdt in dat bedrijven weten welke personen toestemming hebben gegeven om hun gegevens te delen met andere partijen en ook welke partijen toegang tot deze gegevens hebben. Op het moment dat personen hun toestemming veranderen of intrekken, heeft het bedrijf de verantwoordelijkheid om ervoor te zorgen dat dit wordt opgevolgd en de betreffende partijen geen toegang meer hebben tot de persoonsgegevens.
Voorbereiden op de GDPR
Wilt u zich voorbereiden op de GDPR? Hierbij een aantal tips:
Om niet voor onverwachte verassingen te staan, is het belangrijk om op de hoogte te zijn van de veranderingen. Als voorbereiding op de aanstaande wetswijziging kunt u de onderstaande tips gebruiken om te bepalen hoe de GDPR van invloed is op jouw bedrijf:
- Is de GDPR wel van toepassing op mijn bedrijf? De wet geldt voor alle organisaties die persoonsgegevens van inwoners van de Europese Unie (laten) verwerken. Met persoonsgegevens wordt gedoeld op alle informatie waarmee u een natuurlijk persoon kunt identificeren.
- Ik heb toch al toestemming om persoonsgegevens te verwerken? Het grote verschil is dat per persoon inzichtelijk moet zijn wanneer en waarvoor (rechtmatig) toestemming is gevraagd. Dit houdt ook in dat toestemming geven een actieve handeling is, dus een vooraf aangevinkt hokje op een online formulier is onvoldoende.
- Als ik toestemming heb mag ik de gegevens dus overal voor gebruiken? Nee, als eigenaar of verwerker van persoonsgegevens moet u zich houden aan de 7 principes van de GDPR (die eerder in dit artikel zijn benoemd). Het kan verstandig zijn om, ter voorbereiding op de wetgeving, het privacy en datasecurity beleid van uw bedrijf te controleren en te bepalen of deze in lijn is met de GDPR.
- Hoe kan ik toestemming tot gegevens vragen? Transparantie staat voorop: de betrokkene moet geïnformeerd worden over wat er met zijn persoonsgegevens gebeurt. Alles moet in eenvoudige en duidelijke taal worden gecommuniceerd. De betrokkene kan op elk moment besluiten de toestemming in te trekken, wat betekent dat het bedrijf de gegevens van deze persoon moet verwijderen.
- Kan ik gecontroleerd worden op het naleven van de GDPR? Ja, als bedrijf moet u kunnen aantonen dat u voldoet aan alle verplichtingen uit de GDPR. Denk hierbij aan de toestemming, gegeven informatie, rechten van betrokkenen, beveiliging van gegevens, minimalisatie van de verwerkingen en afspraken met bewerkers. Het is dus verstandig een systeem op te zetten om aan te tonen dat uw bedrijf aan haar verplichtingen voldoet.
- Wat moet ik doen bij datalekken? Sinds 1 januari 2016 kennen we in Nederland de meldplicht datalekken. Deze meldplicht blijft onder de GDPR nagenoeg gelijk. Het belangrijkste is dat de bewerker onder de GDPR verplicht is een datalek te melden aan de verantwoordelijke (bijvoorbeeld de opdrachtgever). Daarnaast hoeft er pas een melding bij de toezichthouder gedaan te worden, wanneer er daadwerkelijk een lek heeft plaatsgevonden.
Is de GDPR dus reden voor paniek?
Als bedrijven zich bewust zijn van de GDPR en op de hoogte zijn van de stappen die genomen moeten worden, is er op dit moment geen directe reden tot paniek. In Nederland hebben we sinds eind jaren ’80 al wetgeving die bepaalt wanneer persoonsgegevens verwerkt mogen worden en welke verplichtingen daarbij gelden. Veel van de begrippen uit de huidige wet komen terug in de nieuwe wet, zij het soms onder een andere naam. Het komt erop neer dat de GDPR voor bedrijven die zich al aan deze wet houden, minder ‘disruptive’ is dan de media men soms doet denken. Als deze bedrijven ter voorbereiding de bovenstaande tips ter harte nemen, komen ze niet voor onverwachte verassingen te staan.
Sterker nog, ik denk dat de ICT sector uiteindelijk zelfs profijt heeft van de nieuwe wetgeving. Privacy en security zijn tegenwoordig belangrijke zaken om het vertrouwen van de consument te winnen en zijn belangrijke voorwaarden voor een succesvolle organisatie. De GDPR zorgt er onder andere voor dat u straks beter weet of business partners, leveranciers en klanten hun zaken op orde hebben, wat zorgt voor een versterking van het onderlinge vertrouwen. Uiteindelijk geeft de GDPR – als de administratieve rompslomp door de wetgeving georganiseerd en gestructureerd is – bedrijven zelfs de ruimte om te doen wat ze graag willen: innoveren!
Heeft u vragen?
Heeft dit artikel u aan het denken gezet? Wilt u eens sparren met één van de leden van ons ICT Sectorteam? Of heeft u een vraag over het financieren van uw ICT-project in 2018? Neem dan vrijblijvend contact op met Tim van Breda of één van de andere leden van ons ICT Sectorteam.