17 juli 2017

De nieuwe Europese regelgeving is in aantocht: dit komt er op je af!

Per 25 mei 2018 wordt de nieuwe Europese privacywetgeving van kracht, de zogenaamde GDPR. Dat lijkt misschien nog ver weg, maar je moet als ondernemer voor die tijd behoorlijk wat hebben geregeld. Wat betekent dit alles precies? Moet je je zorgen maken? Wat moet je voor die tijd geregeld hebben? Er is veel zin, maar helaas ook veel onzin en foutieve informatie over deze regelgeving. Daarom hierbij de belangrijkste punten in dit artikel op een rijtje.

< Terug naar overzicht

Allereerst. Wat is GDPR eigenlijk?

In het kort: GDPR staat voor ‘General Data Protection Regulation’. In Nederlands: Algemene Verordening Gegevensbescherming, afgekort AVG. De GDPR of AVG is een Europese privacy verordening. Hierin is vastgelegd wat voor gegevens je als organisatie wel of juist niet mag vastleggen en hoe je er mee moet omgaan.

Veel ondernemers nog onbekend met GDPR

Uit onderzoek van MKB Servicedesk blijkt dat 6 van de 10 ondernemers niet bewust zijn van de aankomende regelgeving. Onderstaand diagram maakt dit duidelijk. Een eye opener lijkt mij.

Wat moet je allemaal hebben geregeld?

Er komt als ondernemer best wat op je af om te regelen voordat de regeling van kracht gaat. Het gaat om de volgende 6 punten die flinke impact hebben op je procedures binnen je bedrijf:

  1. Recht tot aanpassen en verwijderen gegevens. Onder de GDPR hebben personen het recht om gegevens die jouw organisatie rondom de persoon heeft verzameld, te laten verwijderen of te corrigeren. Je moet binnen een bepaalde termijn gehoor geven aan dit verzoek. Ook dien je alle partijen waarmee deze informatie is gedeeld, te hebben benaderd met het verzoek om deze data ook te verwijderen of te corrigeren.
  1. Plichten bij risicovolle gegevens: de DPIA Voor risicovolle gegevensverwerkingen ben je vanuit de GDPR verplicht om een zogenaamde DPIA (Data Protection Impact Assessment) uit te voeren. Dit is bijvoorbeeld het geval wanneer je bedrijf op grote schaal personen volgt (denk aan cameratoezicht, risico-inschatting en monitoring van iemands gezondheid via wearables) of op grote schaal bijzondere persoonsgegevens (zoals: gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden) verwerkt. Het komt erop neer dat je vanaf ingangsdatum van deze nieuwe regelgeving als organisatie verplicht kan zijn een Privacy Impact Assessment (PIA) uit te voeren. Hiermee breng je vooraf de privacy risico’s van een gegevensverwerking in kaart en weet je dus welke maatregelen je moet treffen om de risico’s te verkleinen.
  1. Aanstellen functionaris gegevensbescherming (DPO). Voor overheden, zorginstellingen en onderwijsinstellingen is het vanuit de GDPR verplicht om een DPO (Data Protection Officer), ook wel Functionaris Gegevensbescherming, aan te stellen. Ook hier geldt dat organisaties die op grote schaal personen volgen, of op grote schaal bijzondere persoonsgegevens verwerken, een DPO moeten aanstellen.
  1. Documentatieplicht. Vanuit de GDPR is het verplicht om alle genomen technische en organisatorische maatregelen vast te leggen. Je kunt hiervoor ISO 27001 en NEN 7510 als richtlijn hanteren. Ook dien je alle beveiligingsincidenten te registreren, dus niet alleen de incidenten waarvoor een verplichte melding geldt. Hierin moeten alle feiten staan omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
  1. Verwijderen data. Vanuit de GDPR ben je verplicht om alle data te verwijderen als er geen doel voor verwerking meer is. Dit kan bijvoorbeeld zijn wanneer de dienstverlening eindigt of een project is afgerond.
  1. Aanvullende regels rondom privacy. De GDPR stelt verplicht dat ‘privacy bij design’ en ‘privacy by default’ gehanteerd moet worden. Korte toelichting hierop: ‘Privacy by design’ betekent dat bij ieder nieuw te implementeren systeem je privacy verhogende maatregelen moeten nemen. Door mij vrij vertaald als: ‘alles privacy, tenzij’. Privacy by default’ houdt in dat er bijvoorbeeld geen gegevens (zoals geboortedatum en telefoonnummer) worden verzameld wanneer dit niet relevant is voor het doel, zoals bij abonneren op een nieuwsbrief. Ook automatisch inloggen, automatisch aanmelden voor een nieuwsbrief, locatie doorgeven en dergelijke moet standaard uitgeschakeld zijn (opt-in in plaats van opt-out).

Fikse boete

Als ondernemer is het erg belangrijk dat je de regels van de GDPR goed kent en je bedrijf er ook daadwerkelijk op inricht. De boete is bij het niet naleven pittig. Om je een beeld te geven: onder de Meldplicht Datalekken is de maximale boete 820.000 euro of 10% van de nationale jaaromzet. Onder de GDPR is de maximale boete zelfs 20.000.000 euro of 4% van de internationale jaaromzet.

Hoe zit het met meldplicht van een datalek?

Onder de Meldplicht Datalekken is het nog zo dat een datalek gemeld moet worden wanneer niet uitgesloten kan worden dat er onrechtmatige toegang tot of verwerking van persoonsgegevens is geweest. Onder de GDPR hoeft een datalek alleen gemeld te worden wanneer er vastgesteld is dat er daadwerkelijk onrechtmatige toegang tot of verwerking van persoonsgegevens is geconstateerd.

Stel niet uit, ga nu aan de slag!

Er komt veel op je af. De te nemen maatregelen hebben een behoorlijke impact; op de organisatie en op de ICT afdeling. Het is voor elke bedrijf maatwerk. Alle procedures binnen je organisatie moeten helder zijn. Mijn advies is daarom: stel het nemen van maatregelen niet uit. Het is namelijk niet van de ene op de andere dag geregeld. Het is niet alleen de regels invoeren, vooral het proces van bewustwording en gedragsverandering vergt veel tijd.

Hulp nodig of meer weten over wat dit voor jouw organisatie betekent? Laten nagaan of je passende technische en organisatorische maatregelen getroffen hebt? Onze collega Gabor Schilten helpt graag. Neem contact op via 088-9382200 of gebruik het contactformulier.