nl
Shopping Cart: 0 product(en) - €0,00 0 0 item(s)

  • U heeft nog geen producten in uw winkelwagen.

GDPR



25 Mei 2018 moeten alle organisaties voldoen aan de General Data Protection Regulation (GDPR) indien zij persoonlijke informatie verzamelen en/of verwerken van ingezetene uit de EU. Maar wat is GDPR eigenlijk en wat zijn de hoofdpunten waar u op moeten letten. Dit artikel behandelt de hoofdpunten.*

Wat is GDPR

GDPR (General Data Protection Regulation) komt voort uit een zogenaamde EU directive (soort van wet). Deze richtlijnen zijn de basis waarop lidstaten van de EU hun wetgeving moeten staven.

Voor de GDPR wordt bepaald dat data beschermd moet worden en hoe te acteren t.a.v. data. De hele regelgeving blinkt uit in onduidelijkheid en vaagheid. Niet ten aanzien van de rechten van de data eigenaar (de natuurlijke ingezetene van de EU), maar wel ten aanzien van de verplichtingen van de verwerker van data of de verzamelaar van data. Zo wordt er regelmatig gesproken over passende maatregelen (naar rato van het risico) die genomen moeten worden door verzamelaar en verwerker, maar wordt niet aangegeven welke maatregelen passend zijn en wanneer deze passend zijn. Dat is aan de verwerker of verzamelaar van de data. Een voorbeeld uit de officiële tekst:


"Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen."


De vraag blijft overeind: wat is passend, wat is goed genoeg. Dat hangt samen met de omvang van data verwerking en de omvang van de data collectie. Is deze groot, dan zullen meer veiligheidsmaatregelen nodig zijn. Zijn deze klein, dan zal dat niet het geval zijn.

Vaak willen ondernemers weten wat dit soort wetgeving zal gaan kosten. Ook dat is niet goed aan te geven. Heeft u de beveiliging al goed op orde, dan zullen er relatief weinig extra kosten zijn. Denk aan ongeveer 3% van het totale ICT budget (totale kosten aan automatisering; hieronder vallen hardware, software, diensten, etc.). Heeft u nog weinig aandacht geschonken aan beveiliging, dan zullen de kosten snel oplopen. Denk dat aan ongeveer 9% van het ICT budget. Bedenk wel dat, vaak door gebrekkige kennis ten aanzien van ICT veiligheid, ondernemers vaak hun beveiligingsniveau overschatten. Er is meer te doen dan vooraf gedacht.

Een groot misverstand ten aanzien van GDPR is dat als je voldoet aan de huidige wet- en regelgeving, dat er dan niet meer veel te doen valt. Dat is niet correct. De GDPR bevat enkele wezenlijk veranderingen. Hieronder vallen de boetes, de registratiemaatregelen die nodig zijn en de Data Protection Officer. Tevens is het niet zo dat aan de GDPR wordt voldaan als er een mooie security appliance wordt geplaatst en er een virus scanner wordt geïnstalleerd. Met name de registratiemaatregelen worden niet gedekt hierdoor. De appliance en virus scanner helpen uiteraard wel bij de registratieplichten, maar zijn, zoals gezegd, op zichzelf onvoldoende.


GDPR Hoofdpunten

Om wat meer inzicht te geven in de GDPR regelgeving doorlopen we de hoofdpunten van de GDPR


Wat wordt er van elke organisatie verwacht?

Het doel van de GDPR is alle natuurlijke EU-ingezetene te beschermen tegen inbreuken op de persoonlijke levenssfeer en gegevens in een digitale wereld die steeds meer door gegevens wordt beheerst en die sterk verschilt van de tijd waarin de richtlijn uit 1995 werd opgesteld. Hoewel de basisbeginselen van gegevensbescherming nog steeds gelden vauit de vorige richtlijn, zijn er veel wijzigingen in het regelgevingsbeleid voorgesteld.


Vergroot territoriaal toepassingsgebied (extra-territoriale toepasbaarheid)

De GDPR geldt voor iedereen, wereldwijd, die gegevens opslaat of verwerkt van natuurlijke EU ingezetenen. Het maakt niet uit of de verwerker of verzamelaar van de gegevens in de EU is gevestigd. Zo kan het zijn dat een bedrijf uit de VS compliant moet zijn met de GDPR omdat die organisatie gegevens van EU ingezetene verwerkt of verzamelt. 


Sancties

Onder GDPR kunnen organisaties die in strijd met GDPR handelen beboet worden tot 4% van de jaarlijkse wereldwijde omzet of € 20 miljoen (naargelang welk bedrag het grootst is). Dit is de maximale boete die kan worden opgelegd voor de zwaarste inbreuken, bijvoorbeeld wanneer de klant niet voldoende toestemming heeft gegeven voor het verwerken van gegevens of wanneer de kern van de concepten van Privacy by Design wordt geschonden. Er is sprake van een gefaseerde aanpak van boetes: een onderneming kan bijvoorbeeld een boete krijgen van 2% wegens het niet op orde hebben van haar administratie (artikel 28), de toezichthoudende autoriteit en de betrokkene niet in kennis stellen van een inbreuk of geen effectbeoordeling uitvoeren. Het is belangrijk op te merken dat deze regels zowel voor de voor de verwerking verantwoordelijken als voor de verwerkers gelden, hetgeen  betekent dat cloud oplossingen niet zijn vrijgesteld van de handhaving van de GDPR.


Toestemming voor verzamelen en verwerken van gegevens

De voorwaarden voor toestemming zijn aangescherpt en bedrijven zullen niet langer lange en onleesbare voorwaarden vol juridische taal kunnen gebruiken voor deze toestemming. Het verzoek om toestemming dient in een begrijpelijke en gemakkelijk toegankelijke vorm te worden gedaan. De toestemming moet duidelijk en van andere zaken te onderscheiden zijn en in een begrijpelijke en gemakkelijk toegankelijke vorm worden gegeven, met duidelijke en ondubbelzinnige taal. De toestemming moet net zo gemakkelijk kunnen worden ingetrokken als dat hij wordt verleend. Er is, voor verzamelen en verwerken, nu toestemming nodig per onderwerp en soort boodschap. Toestemming voor het ontvangen van je nieuwsbrief volstaat bijvoorbeeld niet meer als je ook een e-mail met een mooi aanbod wilt sturen en andersom. De toestemming moet expliciet zijn, met een duidelijke reden en er moet expliciete toestemming zijn voor het delen van de informatie. Tevens moet duidelijk zijn met wie de data wordt gedeeld


Bewerkersovereenkomst

Indien er data, zoals bedoeld in de GDPR, wordt gedeeld met andere partijen, dan dient er een bewerkersovereenkomst te worden gesloten met deze organisaties. Een bewerkersovereenkomst is een juridisch instrument met daarin op zijn minst:

  • Doeleinden van verwerking
  • Verplichtingen van de bewerker
  • Doorgifte van persoonsgegevens naar derde landen
  • Garanties van beide partijen over correct naleven van de wet
  • Beveiliging van de persoonsgegevens door de verwerker
  • Een interne datalekmeldplicht naar de verantwoordelijke
  • Omgaan met verzoeken van betrokkenen
  • Eigendom van de persoonsgegevens
  • Vrijwaringen over claims van betrokkenen en derden (zoals toezichthouders)
  • Geheimhouding bij persoonsgegevens
  • Duur, verlenging en opzegging
  • Wijzigen van de bewerkersovereenkomst

Opdrachtgever blijft altijd verantwoordelijk voor de persoonsgegeven die worden opgeslagen en verwerkt. Opdrachtgever is verplicht te controleren of de organisaties, met wie de bewerkersovereenkomsten zijn gesloten, deze persoonsgegevens zorgvuldig beschermen tegen onbedoelde toegang.


Rechten van betrokkenen

Melding van overtreding

In het kader van de GDPR zal de kennisgeving van inbreuken verplicht worden in alle lidstaten waar een inbreuk op de gegevens waarschijnlijk "een risico voor de rechten en vrijheden van personen met zich meebrengt". Dit moet binnen 72 uur na het ontdekken van de overtreding gebeuren. Indien de inbreuk een risico met zich meebrengt door de rechten en vrijheden van personen met zich meebrengt, dienen gegevensverwerkers en/of verzamelaars ook verplicht hun klanten "zonder onnodige vertraging" op de hoogte te stellen van de gegevensinbreuk. Moderne versleuteling van gegevens maakt deze regeling overbodig.


Recht op toegang

Een deel van de door de GDPR geschetste verruimde rechten van de betrokkenen is het recht van de betrokkenen om van de voor de verwerking verantwoordelijke te vernemen of, waar en voor welk doel, al dan niet persoonsgegevens over hen worden verwerkt. Voorts verstrekt de voor de verwerking verantwoordelijke kosteloos een exemplaar van de persoonsgegevens in elektronische vorm.


Recht om Vergeten te worden

Het recht om te worden vergeten, ook wel Data Erasure genoemd, geeft de betrokkene het recht om zijn/haar persoonsgegevens te laten wissen door de verantwoordelijke voor de verwerking, de verdere verspreiding van de gegevens te staken en derden de verwerking van de gegevens te laten staken. De in artikel 17 beschreven voorwaarden voor verwijdering omvatten onder meer de gegevens die niet langer relevant zijn voor de oorspronkelijke doeleinden voor verwerking, of een betrokkene die zijn toestemming intrekt. Er zij ook op gewezen dat dit recht vereist dat de voor de verwerking verantwoordelijken de rechten van de betrokkenen op "het openbaar belang bij de beschikbaarheid van de gegevens" vergelijken wanneer zij dergelijke verzoeken in overweging nemen.


Data Portabiliteit

De GDPR introduceert dataportabiliteit - het recht voor een betrokkene om de hem betreffende persoonsgegevens te ontvangen, die hij eerder heeft verstrekt in een "algemeen en machinaal leesbaar formaat" en het recht heeft om die gegevens aan een andere voor de verwerking verantwoordelijke door te geven. 


Privacy by Design

Privacy by design als concept bestaat al jaren, maar het is nog maar net onderdeel geworden van een wettelijke eis met het GDPR. De kern van de zaak is dat privacy by design niet zozeer een toevoeging als wel een toevoeging vereist, maar dat gegevensbescherming vanaf het begin van het ontwerpen van systemen wordt opgenomen. Meer in het bijzonder:"De voor de verwerking verantwoordelijke (...) voert op doeltreffende wijze passende technische en organisatorische maatregelen... uit om aan de eisen van deze verordening te voldoen en de rechten van de betrokkenen te beschermen". Artikel 23 bepaalt dat de voor de verwerking verantwoordelijken alleen de gegevens mogen bewaren en verwerken die absoluut noodzakelijk zijn voor de vervulling van hun taken (gegevensminimalisering) en dat de toegang tot persoonsgegevens moet worden beperkt tot degenen die de verwerking moeten uitvoeren. 


Technische en organisatorische maatregelen

Volgens de GDPR dient de verzamelaar en verwerker te zorgen dat de juiste technische en organisatorische maatregelen getroffen zijn om de persoonlijke data te beschermen tegen ongelukken, onwetmatige vernietiging of tegen verlies, verandering of ongeoorloofde openbaarmaking en toegang door niet geautoriseerde personen. Dit betekent o.a. dat er uitgebreide documentatie moet worden bijgehouden over welke informatie wordt verzameld, voor wie deze benaderbaar is, hoe segregatie van verantwoordelijkheden is ingericht.


Data Protection Officer (DPO)

Momenteel zijn voor de verwerking verantwoordelijken verplicht hun gegevensverwerkingsactiviteiten bij lokale gegevensbeschermingsautoriteiten aan te melden, wat voor multinationals een bureaucratische nachtmerrie kan zijn, waarbij de meeste lidstaten verschillende meldingsvereisten hebben. In het kader van GDPR zal het niet nodig zijn om kennisgevingen / registraties van gegevensverwerkingsactiviteiten bij elke lokale gegevensbeschermingsautoriteit in te dienen, noch zal het nodig zijn om kennisgeving / goedkeuring te verkrijgen voor overdrachten op basis van de modelcontractbepalingen (MCC' s). In plaats daarvan zullen er interne registratievereisten zijn, zoals hieronder nader wordt toegelicht, en de aanstelling van een functionaris voor gegevensbescherming zal alleen verplicht zijn voor de verwerking verantwoordelijken en verwerkers wier kernactiviteiten bestaan uit verwerkingen die een regelmatige en systematische controle van betrokkenen op grote schaal of van speciale categorieën gegevens of gegevens in verband met strafrechtelijke veroordelingen en strafbare feiten vereisen. Belangrijk is dat de DPO: 

  • Moet worden benoemd op basis van professionele kwaliteiten en met name op basis van vakkennis van het recht en de praktijk inzake gegevensbescherming
  • Kan een personeelslid of een externe dienstverlener zijn
  • De contactgegevens moeten aan DPA worden verstrekt
  • Moeten de nodige middelen ter beschikking worden gesteld om hun taken uit te voeren en hun kennis van deskundigen op peil te houden
  • Moet rechtstreeks rapporteren aan het hoogste managementniveau
  • Mag geen andere taken uitvoeren die tot belangenverstrengeling kunnen leiden.


Conclusie

Onder de nieuwe wetgeving mogen bedrijven alleen onder strikte voorwaarden persoonlijke informatie verzamelen en bewaren. Iedereen die zich niet aan deze strikte voorwaarden houdt is strafbaar. Een andere verplichting ontstaat om data te mogen verzamelen, verwerken en gebruiken is de expliciete toestemming hiervoor van je contact. Nu heb je toestemming nodig per onderwerp en soort boodschap. Daarnaast moet je volgens de GDPR zorgen dat de juiste technische en organisatorische maatregelen getroffen zijn om de persoonlijke data te beschermen tegen ongelukken, onwetmatige vernietiging of tegen verlies, verandering of ongeoorloofde openbaarmaking en toegang door niet geautoriseerde personen.


Hulp

Horus ICT levert ondersteuning voor GDPR compliancy en verkoopt ICT Beveiliging appliances die u voor het grootste deel compliant maken met betrekking tot de technische maatregelen die u dient te nemen. Wij helpen u echter ook graag bij het inrichten van de toestemmingsverklaring, de GDPR verklaring, de bewerkersovereenkomst en de organisatorische invulling van GDPR. Neem contact met ons op voor meer informatie.



* Dit artikel behandelt slechts de hoofdlijnen. Het artikel pretendeert niet volledig te zijn. Voor volledigheid verwijzen wij graag naar de officiele teksten die gevonden kunnen worden op www.eugdpr.org.