De General Data Protection Regulation (GDPR) – wat betekent dit voor u?
13 juli 2016 -
Digitalisering verandert de wereld in een razendsnel tempo. Aan de ene kant maakt het veel zaken eenvoudiger. Aan de andere kant brengen al die data ook de nodige risico's met zich mee, met name op het gebied van privacy. Dit is een belangrijk punt voor de Europese Unie en om die reden is de General Data Protection Regulation (GDPR) opgesteld.
De GDPR is een regeling die ook veel middelgrote bedrijven raakt. Ingrid Ligthart van Exact Software licht toe wat de regeling precies inhoudt en hoe u hier uw organisatie op kunt voorbereiden.
GDPR – wat is het en wanneer gaat deze regeling in?
Ligthart vertelt: "De General Data Protection Regulation (GDPR) is in het leven is geroepen om de dataprotectie van individuen binnen de Europese Unie te versterken en uniform te maken. Veel bedrijven zullen te maken krijgen met de effecten van de GDPR en daarom is het belangrijk dat uw organisatie hier op is voorbereid. De regeling is een nieuw wettelijk instrument dat werd aangenomen op 27 april 2016 en op 25 mei 2018, na een transitieperiode van twee jaar, in werking treedt. De GDPR heeft – in tegenstelling tot een richtlijn – geen verdere, ondersteunende wetgeving nodig om door overheden ingevoerd te worden."
Wat staat er in de GDPR?
"In de GDPR staan een aantal basisprincipes voor dataprotectie die voor bedrijven van belang zijn:
Rechtmatigheid, eerlijkheid en transparantie - Bedrijven moeten persoonlijke data op een rechtmatige, eerlijke en transparante manier verwerken in relatie tot de personen waarop de data betrekking hebben.
Integriteit en vertrouwelijkheid – Bedrijven moeten persoonlijke data verwerken op een manier die zorgt voor een gepaste beveiliging van de persoonlijke data. Inclusief beveiliging tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.Dat moet u doen door gebruik te maken van gepaste technische en organisatorische maatregelen.
Dataminimalisering - Persoonlijke data moeten adequaat, relevant en alleen beschikbaar zijn voor die personen die nodig zijn in relatie tot de doelen waarvoor de data verwerkt worden.
Afbakening van het doel – Bedrijven moeten persoonlijke data verzamelen voor gespecificeerde, expliciete en rechtmatige doelen, en niet verder verwerken op een manier die niet aansluit bij die gestelde doelen. Verdere verwerking van persoonlijke data voor archiveringsdoeleinden voor publiek belang, wetenschappelijk en historisch onderzoek, of statistische doeleinden wordt weliswaar niet gezien als ‘niet in aansluiting’ met de originele doelen, maar in dat geval moeten organisaties wel voldoen aan de voorwaarden in Artikel 83(1). Dit artikel beschrijft de waarborgen en afwijkingen in relatie tot het verwerken van data voor de hierboven genoemde doeleinden.
Afbakening van de opslag - Bedrijven moeten persoonlijke data opslaan op een manier die de identificatie van de personen, waarop de data betrekking hebben, niet langer mogelijk maakt dan strikt noodzakelijk is voor het bereiken van de doelen waarvoor het bedrijf de persoonlijke data verwerkt. Persoonlijke data mogen wel voor langere periodes opgeslagen worden als ze specifiek worden verwerkt voor archiveringsdoeleinden voor publiek belang, wetenschappelijk en historisch onderzoek, of statistische doeleinden. Dit moet dan echter wel in overeenstemming zijn met Artikel 83(1), en onder de voorwaarde dat het bedrijf gepaste technische en organisatorische maatregelen treft.
Nauwkeurigheid - Persoonlijke data moeten nauwkeurig zijn en, als nodig, geüpdatet worden. Bedrijven moeten iedere redelijke maatregel nemen om ervoor te zorgen dat persoonlijke data die niet nauwkeurig zijn (in relatie tot de doelen waarvoor ze verwerkt worden) worden gewist of gerectificeerd. Dat moet direct en zonder vertraging gebeuren.
Verantwoording door de controller - De bedrijfscontroller speelt een belangrijke rol in de GDPR. Hij of zij is er verantwoordelijk voor dat het bedrijf handelt in overeenstemming met de bovenstaande GDPR-principes. Bovendien moet de controller in staat zijn om dat ook aan te tonen."
Wees voorbereid
Hoe kunt u uw organisatie nu het beste voorbereiden op de GDPR? Ligthart: "Alle bedrijven die persoonlijk data verwerken, archiveren, doorsturen en dergelijke, moeten goed op de hoogte zijn van de regels van de GDPR. Dit kunnen bijvoorbeeld persoonlijke data zijn van klanten, potentiële klanten, maar ook van medewerkers. Zorg er dus voor dat u een dataprotectiebeleid opstelt. Of als u dat al heeft, dat u dit beleid goed naloopt om te zorgen dat het aan de nieuwe regels voldoet."
Nieuwe gedragsregels zijn ook nodig vervolgt Ligthart: "Als gevolg van de nieuwe regels zijn er ook nieuwe gedragsregels nodig binnen het bedrijf, en training om ervoor te zorgen dat werknemers zich gedragen in lijn met de nieuwe principes. Zorg er tot slot ook voor dat de controller de juiste middelen heeft om te zorgen dat aangetoond kan worden dat uw bedrijf voldoet aan de GDPR."
Mei 2018 is nog even weg, maar het lijkt raadzaam om niet te lang te wachten met de voorbereidingen en zo op tijd klaar te zijn voor de nieuwe regels.
