• Start
  • KENNIS
  • Blog
  • Privacywetgeving, GDPR: wat wordt er mee bedoeld?
slot voor beveiligen privacywetgeving 2018

Privacywetgeving, GDPR: wat wordt er mee bedoeld?

GDPR is de nieuwe wetgeving voor gegevensbescherming. In het Nederlands wordt dit AVG genoemd, dit betekent Algemene Verordening Gegevensbescherming. Vanaf 25 mei 2018 zal er in de hele EU dezelfde privacywetgeving gelden. Bedrijven zullen moeten voldoen aan de GDPR en moeten dit ook aan kunnen tonen.

 

Het doel van deze nieuwe wetgeving is dat alle privacygevoelige gegevens die organisaties hebben, worden beschermd. Op dit moment geldt in Europa de Richtlijn bescherming persoonsgegevens, ontstaan in 1995. Elk land heeft een privacywetgeving die hierop gebaseerd is. In Nederland is dat de Wet Bescherming Persoonsgegevens. Door de opkomst van het digitale tijdperk is het noodzakelijk om de wet te vervangen.

Privacywetgeving: Algemene veranderingen

Het wordt verplicht om toestemming te krijgen van de klant om zijn/haar gegevens te verwerken. En dat geldt niet alleen voor klanten, maar ook voor andersoortige relaties. Wanneer zij hier geen toestemming voor geven, dan mag hier wettelijk gezien ook niets mee worden gedaan. Ook mogen gegevens niet voor andere doeleinden worden gebruikt dan wat er met de persoon in kwestie afgesproken is en moeten dan ook in voldoende mate beveiligd worden.

Er mogen ook niet meer gegevens worden opgevraagd dan nodig is. Het is bijvoorbeeld meestal niet relevant om de geloofsovertuiging van een relatie te weten om zaken met iemand te doen. Deze gegevens mogen dan ook niet worden bewaard.
Daarnaast is het verplicht voor bepaalde organisaties om een veiligheidsfunctionaris te hebben. Deze persoon is verantwoordelijk voor de privacygevoelige gegevens. Deze functionaris voor de gegevensbescherming is verplicht voor een organisatie in drie situaties:

  1. Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FD aan te stellen. Alleen voor rechtbanken geldt dit niet.
  2. Organisatie die vanuit kernactiviteiten op grote schaal individuen volgen. Hierbij kan er bijvoorbeeld gedacht worden aan het verzamelen, analyseren en combineren van persoonsgegevens voor het maken van risico-inschattingen en cameratoezicht.
  3. Organisaties die op grote schaal bijzondere gegevens verwerken waarbij dit hun kernactiviteit is.

In de andere gevallen in een FD niet verplicht.

Organisaties hebben met de komst van de nieuwe wet GDPR een toezichthouder van het land waar de hoofdvestiging is gevestigd, in ons geval Nederland. Deze toezichthouder moet dan ook toezien op het naleven van de wet, inclusief het geven van boetes bij overtredingen. De boetes worden in de nieuwe situaties flink verhoogd. Hieronder een weergave van de verhoging van de boetes per overtreden wet:

  • De wet overtreden bij het verwerken van persoonsgegevens
    Deze boete is verhoogd van €820.000 of 10% van de jaaromzet naar €20 miljoen of 4% van de wereldwijde jaaromzet.
  • De wet overtreden door het onvoldoende beveiligen van persoonsgegevens
    Deze boete is verhoogd van €820.000 of 10% van de jaaromzet naar €10 miljoen of 2% van de wereldwijde jaaromzet.

Er zijn veel bedrijven die de GDPR onderschatten, omdat er vaak wordt gedacht dat het een kwestie is voor de IT-afdeling. Dat is pertinent niet waar: iedereen die in aanraking komt met gegevens van personen, heeft te maken met deze wet en moet rekening houden met de wijzigingen van deze nieuwe regelgeving. En dat betekent in feite ook dat de processen waar persoonsgegevens bij betrokken zijn, getoetst moeten worden aan de nieuwe wetgeving.

GDPR: definitie van Persoonsgegevens

Een persoonsgegeven is een gegeven over een geïdentificeerd natuurlijk persoon. Deze informatie is te herleiden naar de persoon of gaat direct over een persoon. Met ‘natuurlijk’ wordt bedoeld dat gegevens over een organisatie geen persoonsgegevens zijn. Wanneer iemand overleden is gaat het eveneens niet om persoonsgegevens. Zakelijke telefoonnummers en e-mailadressen vallen met de nieuwe regelgeving wel onder persoonsgegevens, maar IP adressen niet.

GDPR: Verwerking van gegevens

De privacy wetgeving gaat uit van de volgende zes grondslagen om persoonsgegevens te mogen verwerken. De gegevensverwerking moet gestoeld zijn op minimaal één van de hieronder beschreven zes grondslagen:
1. Ondubbelzinnige toestemming;
2. Noodzakelijk voor uitvoering overeenkomst;
3. Noodzakelijk in verband met wettelijke verplichting;
4. Noodzakelijk voor vrijwaring vitaal belang betrokkenen;
5. Noodzakelijk voor invulling publiekrechtelijke taak;
6. Gerechtvaardigd belang verantwoordelijke, tenzij dit fundamenteel recht of vrijheid schendt.
(Bron: www. autoriteitpersoonsgegevens.nl)

Het verzamelen van persoonsgegevens op het gebied van online marketing gebeurt meestal op basis van grondslag 1, ondubbelzinnige toestemming. Hierop wordt verder ingegaan in ons volgende blog.

Er verandert dus relatief veel en hier kan beter van te voren op ingespeeld worden dan wanneer de privacywetgeving 2018 al is ingetreden. Wees dus goed voorbereid! Bent u dit nog niet? Of weet u nog niet of u goed voorbereid bent? Lees dan ons whitepaper over GDPR of vraag een GDPR analyse aan.

Volg ons!

Close

Klik hieronder en blijf geïnformeerd!