Bescherm uw gegevens en bereid u voor op de europese algemene verordening voor gegevensbescherming
INZICHTEN
De nieuwe EU-verordening voor gegevensbescherming, beter bekend als GDPR (General Data Protection Regulation = algemene verordening gegevensbescherming), kan voor uw organisatie aanzienlijke gevolgen hebben voor de manier waarop persoonsgegevens moeten behandeld worden. Uw organisatie wordt niet alleen verantwoordelijk voor de effectieve naleving van de verordening, meer bepaald voor de verwerking en bescherming van persoonsgegevens, maar kan zelfs boetes krijgen wanneer niet aan de voorschriften van de verordening wordt voldaan. Uw organisatie zal aansprakelijk worden gesteld voor alle schade die voortvloeit uit schendingen van privacygegevens.
NRB biedt expertise in GDPR en heeft een modulaire benadering ontwikkeld. NRB beschikt hiervoor over een aanbod van services waarmee u uw beleid in uw eigen ritme aan de GDPR kunt aanpassen, rekening houdend met de rijpheid van uw organisatie inzake beveiliging en met uw beschikbare budget.
OVER GDPR
De Algemene Gegevensbescherming beoogt het harmoniseren van de verordeningen inzake gegevensbescherming in de EU en het versterken en eenmaken van gegevensbescherming. Het richt zich op beveiliging van persoonsgegevens voor EU-burgers en individuen binnen de EU, maar legt ook regels op voor het exporteren van persoonsgegevens buiten de EU. De primaire doelstellingen van de commissie inzake de GDPR, is om de burgers de controle over hun persoonsgegevens terug te geven en om de regelgevende omgeving voor de internationale handel te vereenvoudigen door de eenmaking van de EU-regelgeving.
De verordening werd aangenomen op 27 april 2016. Het wordt van kracht op 25 mei 2018, na een overgangsperiode van twee jaar, en vervangt de huidige richtlijn 95/46/EG van 1995 inzake gegevensbescherming. In tegenstelling tot de richtlijn moeten de regeringen hiervoor geen uitvoeringsbepalingen aannemen.
WAAROM MOET U VOORBEREID ZIJN OP DE NIEUWE VERORDENING?
De GDPR zal alle huidige nationale wetten inzake gegevensbescherming in de EU vervangen. Hierna volgt een overzicht van de verwachte, belangrijkste wijzigingen waarmee organisaties rekening moeten houden en waaraan ze zich moeten aanpassen:
- Uitbreiding van het geografische bereik:
De GDPR is van toepassing op organisaties en hun onderaannemers buiten de EU. Dit betekent concreet dat
een bedrijf buiten de EU dat zich tot consumenten in de EU richt, aan de GDPR is onderworpen.
- Verantwoordingsplicht en privacy door ontwerp:
De GDPR maakt organisaties volledig verantwoordelijk om aan te tonen dat zij de regels naleven. Dit betekent dat zij de naleving moeten documenteren, een privacyeffectbeoordeling moeten uitvoeren wanneer zij gevoelige gegevens verwerken en gegevensbescherming door ontwerp en standaardinstellingen in hun uitvoeringsprocessen moeten toepassen.
- Toestemming:
De toestemming van een persoon om zijn of haar persoonsgegevens te verwerken moet vrijwillig worden gegeven; in geval van gevoelige gegevens moet dit expliciet gebeuren, hetzij door een verklaring, of door een duidelijke bevestiging waarin de persoon zich akkoord verklaart om deze gegevens te verwerken. De toestemming kan op elk willekeurig ogenblik worden ingetrokken. De organisatie moet kunnen aantonen dat er toestemming werd gegeven.
- Melding van schending van privacygegevens:
Organisaties moeten schendingen van privacygegevens aan de Autoriteit persoonsgegevens melden. Dit moet zonder uitstel gebeuren, en indien haalbaar binnen 72 uur nadat men dit heeft opgemerkt. Men dient een onderbouwde motivering te geven indien deze tijdsspanne niet wordt nageleefd. De organisatie moet de personen van wie de gegevens getroffen zijn, onverwijld op de hoogte stellen.
Rol van de onderaannemers:
Een van de belangrijkste wijzigingen in de GDPR is dat onderaannemers rechtstreekse verplichtingen hebben. Dit betekent dat zij technische en organisatorische maatregelen moeten toepassen en schendingen van gegevens onverwijld aan uw organisatie moeten melden.
- Sancties:
De GDPR legt straffen op bij schendingen, met boetes voor inbreuken tot 4% van de jaarlijkse omzet wereldwijd op schending van gegevens, en tot 2% van de jaarlijkse omzet wereldwijd indien de verordening niet wordt nageleefd.
- Data Protection Officer (DPO):
In specifieke omstandigheden moeten organisaties of onderaannemers een Data Protection Officer aanstellen. De DPO moet voldoende kennis als expert ter zake hebben. De DPO kan in dienst zijn, of onder een dienstencontract werken.
- Recht om vergeten te worden:
Individuen kunnen eisen dat hun persoonsgegevens onverwijld door de organisatie worden gewist. Een goed voorbeeld is wanneer ze hun toestemming intrekken en er geen andere wettelijke grondslag voor verwerking van toepassing is.
Reactie toevoegen