Gegevensbescherming: wat jouw bedrijf te wachten staat in 2018
De Europese Commissie en het Europees Parlement hebben besloten dat de huidige wetgeving niet langer aansluit op de constante veranderingen in de digitale wereld. Om een Europese regelgeving te creëren voor de bescherming van persoonsgegevens is een nieuwe Europese privacyverordening aangenomen: de Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR). De GDPR is op 25 mei 2016 in werking getreden en zal naar verwachting op 25 mei 2018 van kracht worden. Maar wat betekent dat voor jouw bedrijf? Lees hier wat er gaat veranderen en hoe je je kunt voorbereiden.
Bescherming van persoonsgegevens in Europa
Voorheen werd de privacy van persoonsgegevens van individuen beschermd binnen de Europese Unie (EU), gebaseerd op Richtlijn 95/46/EG. Dit is de richtlijn rondom de bescherming van persoonsgegevens voor elk land binnen Europa. De landen baseren daarop hun eigen, lokale wetgeving. De Wet bescherming persoonsgegevens (Wbp) binnen Nederland is hier een mooi voorbeeld van.
Wat verandert er in 2018?
Alle organisaties worden geacht om vanaf 25 mei 2016 hun bedrijfsvoering met de GDPR in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd. Er staan een aantal interessante veranderingen in de GDPR:
- De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. De boete die de nationale toezichthouder voor verwerkingsverantwoordelijken geeft, kan oplopen tot €20 miljoen of 4 procent van de algemene jaaromzet.
- De GDPR geldt ook voor organisaties die niet in de EU gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU monitoren.
- Een deel van de administratieve lasten voor organisaties wordt verminderd. De verplichting om verwerking van persoonsgegevens te melden bij de lokale toezichthouders is verdwenen. Organisaties moeten zelf een overzicht bijhouden van al hun verwerking van persoonsgegevens.
- Het 'recht om vergeten te worden': in de GDPR staat dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen indien aan bepaalde voorwaarden wordt voldaan.
- De GDPR is een verordening, en niet slechts een EU-richtlijn. Hierdoor is deze, in tegenstelling tot richtlijn 95/46/EG, rechtstreeks geldig. Dit is gunstig voor organisaties die in meerdere landen opereren. De regelgeving is dus overal gelijk. Lokale overheden krijgen wel de kans om wetgeving aan te passen aan eigen behoeftes omtrent de bescherming van persoonsgegevens. Een voorbeeld hiervan is de Autoriteit Persoonsgegevens. Maar het zou heel goed kunnen dat andere instanties hier ook bij betrokken gaan raken.
- Het verbod van artikel 24 in de Wbp op de verwerking van identificatienummers zoals het BSN wordt opgeheven. In de GDPR bestaat dat verbod niet, wat inhoudt dat voortaan vrijer gebruik van identificatienummers mogelijk is. Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik van identificatienummers.
Wat betekent het voor de huidige wetgeving?
Vanaf 25 mei 2018 moet iedereen zich aan deze wet houden. Tot die tijd is de privacywetgeving van Nederland zoals de Wet bescherming persoonsgegevens (Wbp) en Wet basisregistratie personen (Wbrp) van toepassing zoals we die nu kennen. De Nederlandse wetten gelden formeel nog wel, maar worden door de EU-privacyverordening ‘overruled’. EU-verordeningen zijn wetten die direct in alle lidstaten van toepassing zijn. Wetten als de Wbp en de Wbrp mogen daarom vanaf 25 mei 2018 niet meer als vanouds worden toegepast. Dit betekent dat de bestaande privacywetgeving moet worden herzien.
OGD helpt! In aanloop naar de invoering van de GDPR in 2018 publiceren wij interessante informatie die helpt om uw organisatie klaar te stomen. Klik op onderstaande link om als eerste op de hoogte te worden gebracht, onder andere via blogposts en webinars.
Hoe kun je je alvast voorbereiden?
De GDPR heeft een grote impact op organisaties die persoonsgegevens beheren en verwerken. De overgangsperiode tot 2018 is bedoeld om organisaties de ruimte te geven zo goed mogelijk te voldoen aan alle onderdelen van de verordening. Voor een goede voorbereiding moeten onder andere de volgende processen worden ingericht:
- Breng goed in kaart welke en hoeveel persoonsgegevens er worden bijgehouden binnen jouw organisatie en op welke manier.
- Zorg voor een procedure voor datalekken. Deze maakt duidelijk welke stappen de organisatie neemt bij het vermoeden van of kennisneming van een incident dat (mogelijk) aangemerkt wordt als een datalek. Tips over het maken van een procedure voor datalekken vindt je hier.
- Ga na of de organisatie een Functionaris Gegevensbescherming (ook wel Data Protection Officer of Privacy Officer) moet aanstellen. Dat wordt in ieder geval verplicht voor organisaties die bij het uitvoeren van hun kernactiviteiten bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerken.
- Bij meer dan 250 medewerkers (of wanneer er gevoelige data wordt verwerkt), moet een register worden gemaakt waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden, inclusief het doel, de grondslag en de genomen beveiligingsmaatregelen.
- Controleer de privacyverklaring van de organisatie. Deze moet veel meer gedetailleerde informatie bevatten dan nu verplicht is. Bovendien moet de verklaring in begrijpelijke taal worden geschreven.
- De overeenkomsten met hosting- en cloudproviders en andere leveranciers die persoonsgegevens verwerken moeten worden gecontroleerd. In de bewerkersovereenkomsten met deze dienstverleners moet veel meer geregeld zijn dan nu is voorgeschreven, onder meer ten aanzien van het inschakelen van derde partijen door de providers en de beveiligingsmaatregelen die de bewerker moet nemen.
- Nagaan of het nodig is om intern beleid te formuleren over het uitvoeren van een Privacy Impact Assessment (PIA). Bij gebruik van een nieuwe techniek voor het verwerken van persoonsgegevens of bij het koppelen van gegevensbronnen moet er eerst een onderzoek worden uitgevoerd naar de privacy-effecten als er door de nieuwe verwerking een groot risico voor de privacy van personen kan ontstaan.
Rohiet Jakhari is Risk & Compliance Officer bij OGD ict-diensten.
Misschien vind je dit leuk
Anderen hebben deze artikelen gelezen