Overslaan en naar hoofdinhoud gaan

Data & Intelligence november 28, 2017

GDPR: Wijzigingen in de regelgeving omtrent bescherming van persoonsgegevens

Image

We ontvangen steeds meer vragen van klanten over de European General Data Protection Regulation (GDPR) of, in het Nederlands, de Verordening Gegevensbescherming. Veel klanten zijn verontrust en hebben geen idee hoe ze deze regelgeving moeten interpreteren. In deze blog willen we u informeren over de kernprincipes van de GDPR, de huidige juridische status en wat deze nieuwe privacywetgeving voor Nederland betekent.

De GDPR treedt in werking op 25 mei 2018. Vanaf dat moment is de privacywetgeving van de EU-lidstaten geharmoniseerd. De GDPR brengt een aantal veranderingen met zich mee. Kort gezegd, het biedt meer bescherming voor de rechten van personen met betrekking tot de bescherming van persoonsgegevens. De privacy rechten worden versterkt en uitgebreid. De betrokkene moet in duidelijke taal worden geïnformeerd over het doel van het verzamelen van persoonsgegevens, over wie dergelijke gegevens ontvangt en over hoe lang de gegevens worden opgeslagen.

De betrokkene moet ook de mogelijkheid hebben om inzicht te krijgen in welke persoonsgegevens zijn verwerkt en om dergelijke gegevens te laten wijzigen of verwijderen. Een voorbeeld van een nieuw recht onder de GPDR is het recht op ‘gegevensportabiliteit’, Dit houdt in dat personen op een beveiligde manier hun persoonlijke gegevens van de ene IT-omgeving naar een andere kunnen verplaatsen, kopiëren of overdragen, bijvoorbeeld van de ene naar de andere mailprovider.

De GDPR resulteert in een hoge mate van verantwoordelijkheid voor organisaties die persoonsgegevens verwerken. Daarbij wordt een onderscheid gemaakt in ‘controllers’ en ‘processors’. Controllers zijn organisaties die het doel en de middelen voor het opslaan van gegevens bepalen en processors zijn de bedrijven die alleen persoonsgegevens verwerken namens een controller.

Image

PROCESSORS EN CONTROLLERS

‘Processors’ zijn verplicht om de data te beveiligen en hierover verantwoording af te leggen. Ze moeten dit doen door passende organisatorische en technische maatregelen te nemen die er voor zorgen dat gegevens veilig worden verwerkt. Voorbeelden hiervan zijn de mogelijkheid om eenvoudig af te melden voor e-mails die worden gebruikt voor direct marketing doeleinden, een intern protocol met betrekking tot het melden van datalekken en het onderhouden van een hoog beveiligingsniveau van IT-systemen waar (gevoelige) persoonlijke gegevens worden opgeslagen. In het geval van niet-naleving van dergelijke verplichtingen, kunnen gegevensbeschermingsautoriteiten (in Nederland de Autoriteit Persoonsgegevens) grote financiële sancties opleggen.

Indien ‘controllers’ zelf zorgdragen voor het verzamelen en beheren van persoonlijke data dan gelden dezelfde regels voor hen als voor de ‘processors’. Indien ze hiervoor een gespecialiseerd bedrijf inschakelen, zijn ze verplicht in zee te gaan met een organisatie die bovenstaande regelgeving juist geïmplementeerd heeft.

HUIDIGE STATUS GPDR WETGEVING

Op dit moment is de Nederlandse wet met betrekking tot de nationale implementatie van de GDPR nog steeds in concept. Sommige relevante aspecten moeten nog verder worden ingevuld. Kort na de voltooiing van de Nederlandse wet zullen we u een meer gedetailleerde update geven.

Vanzelfsprekend zijn we ondertussen volledig gericht om ons voor te bereiden op de nieuwe wetgeving.

#durftevragen - We bijten niet! Stel ze hier.