De nieuwe Algemene Verordening Gegevensbescherming (GDPR): Wat moet je weten?

Posted by media on 22-mrt-2018 9:00:00
hevorming_europese_wetgeving_voor_gegevensbescherming.png

De nieuwe Europese Verordening voor Gegevensbescherming (ook bekend als GDPR), Verordening (EU) 2016/679, trad in werking op 25 mei 2016 en zal volledig worden geïmplementeerd op 25 mei 2018.

Daarom bevelen we sterk aan dat bedrijven een voorsprong proberen te krijgen op het maken van de nodige aanpassingen en verbeteringen om te voldoen aan de nieuwe GDPR, aangezien dat ten voordele is van iedereen.

In deze post analyseren we de redenering achter de nieuwe GDPR en de belangrijkste aspecten ervan: de impact van privacy, het recht op informatie, toestemming, transparantie en veiligheid.

Deze post is ook beschikbaar in het Engels.


De redenering achter de nieuwe GDPR

De Verordening is het resultaat van een jarenlang debat tussen organisaties, instellingen en entiteiten waaronder overheidsinstanties, gegevensbeschermingsautoriteiten en bedrijven.

Al deze partijen, gezien de opmars van nieuwe technologieën in de laatste paar decennia, moesten de bijproducten van de technologische revolutie gedetailleerder regelen: het recht op privacy en de bescherming van persoonlijke gegevens.

De vorige Richtlijn 95/46/EG is om deze redenen van kracht geworden, met het doel om nieuwe use cases te reguleren die zijn ontstaan door in de jaren negentig op de markt gebrachte technologie, zoals de toenemende verwerkingssnelheid van geautomatiseerde gegevens en de groei van opslagcapaciteit.

Vandaag de dag hebben de popularisering van internetgebruik en social media, de geavanceerde staat van data-analyse, en de komst van Internet of Things de manier waarop individuele gebruikers en bedrijven informatie uitwisselen compleet veranderd.

Het consumeren van goederen en interpersoonlijke communicatie zijn niet eens meer vergelijkbaar met vijfentwintig jaar geleden. Als gevolg daarvan probeert de nieuwe EU-verordening gegevensbescherming de basis te leggen voor een privacywet die past bij moderne technologie.

Het is misschien dan toch ongelukkig dat technologie zich in een veel hoger tempo ontwikkelt dan het juridische systeem.

Mobile-phone-shopping.jpeg

Welke impact zal de nieuwe GDPR waarschijnlijk hebben?

Zodra het volledig zal worden geïmplementeerd op 25 mei 2018, maakt de nieuwe Verordening de voorgaande richtlijn ongeldig, juist omdat het een nieuw reglement is en geen nieuwe richtlijn.

Er moet rekening worden gehouden met het feit dat de GDPR niet alleen van toepassing is op Europese bedrijven, professionals, gegevensverwerkers en entiteiten die zich bezighouden met de Europese gemeenschap. De GDPR is ook van toepassing op alle niet-EU-bedrijven en -professionals die gegevens verwerken als onderdeel van alle diensten die op de Europese burger gericht zijn.


Amazon en Google Analytics zijn twee duidelijke voorbeelden van bedrijven waarop de nieuwe verordening van toepassing is, de eerstgenoemde door de verkoop en levering van producten aan Europese woningen; de laatstgenoemde door controle en analyse van webgebruikers aan te bieden. Beide bedrijven werken van buiten de Europese Unie.



Wat zijn de belangrijkste aspecten van de nieuwe GDPR?

De GDPR richt zich op een analyse van de impact van privacy, het recht op informatie, toestemming, transparantie en veiligheid, en op het waarborgen van de rechten van burgers, namelijk privacy en gegevensbescherming.


1. De impact van privacy

Dit aspect wordt geanalyseerd door een proces dat bekend staat als Privacy by Design, dat gericht is op de impact van gegevensverwerking door bedrijven, professionals en ondernemers.

Een bedrijf dat een nieuwe mobiele app of een online platform voor de verkoop van producten en services ontwikkelt, moet bijvoorbeeld beginnen met een analyse van Privacy by Design en nog veel meer, en moet dus de volgende vragen stellen:

  • Hoe zal er om klant- of gebruikersgegevens worden gevraagd?
  • Hoe moet de klant worden geïnformeerd over de verwerking van zijn/haar persoonlijke gegevens?
  • Hoe zou de informatie worden opgeslagen?
  • Is de hoeveelheid informatie van elke klant voldoende of is dit meer dan er echt nodig is?

Deze bedenkingen moeten worden opgelost in het belang van de bescherming van klanten voor elke mogelijke misbruik van hun persoonlijke gegevens, waardoor bedrijven worden verhinderd inbreuk te maken op hun privacy.

bescherming_van_klanten_toestemming_geven.jpeg


>>> Gerelateerde post: Infographic GDPR: gegevensbescherming voor het digitale tijdperk in Europa.


2. Het recht op informatie

Tot nu toe was het een vereiste om informatie te verstrekken over wie precies achter elke instantie van gegevensverwerking staat en hoe die informatie wordt gebruikt.

Met de nieuwe GDPR zullen entiteiten er echter voor moeten zorgen dat de informatie gedetailleerder is dan ooit tevoren.

Bij de verwerking van persoonsgegevens van natuurlijke en rechtspersonen (onder andere), moet de volgende informatie worden verstrekt:

  • de identiteit van de verantwoordelijke voor de verwerking en, indien van toepassing, zijn of haar vertegenwoordiger;
  • de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt;
  • de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, en de wettelijke verplichting waaraan de controller is onderworpen;
  • de doeleinden waarvoor de persoonlijke gegevens zullen worden gebruikt;
  • de periode waarin de persoonlijke gegevens kunnen worden bewaard en, indien dit niet bekend is, de criteria die door de controller worden gebruikt om de genoemde periode te bepalen.

Het is ook belangrijk om in acht te nemen dat de wettelijke kennisgevingen, relevante contractclausules en het privacybeleid van een website zo eenvoudig mogelijk moeten zijn, geschreven op een duidelijke, toegankelijke manier ten behoeve van alle gebruikers.V

Al het bovenstaande zijn enkele van de informatieve aspecten van de nieuwe EU GDPR die moeten worden uitgevoerd om te zorgen voor volledige naleving.


3. Toestemming

De noodzakelijkheid voor toestemming heeft een prominente plaats gekregen in de nieuwe GDPR.

De vorige richtlijn vereiste individuele toestemming op een algemene, transparante, geïnformeerde, relevante en ondubbelzinnige manier.

De nieuwe GDPR maakt het voor geïnteresseerde partijen van cruciaal belang om een expliciete verklaring of positieve actie uit te vaardigen waaruit de overeenstemming met het delen van persoonlijke gegevens blijkt, die ervoor zorgt dat elke toestemming daadwerkelijk "ondubbelzinnig" is.


Toestemming in de nieuwe GDPR

Toestemming wordt niet langer als geldig beschouwd als deze bestaat uit een stille, passieve of nalatige handeling door de belanghebbende partij.


Op deze manier zullen veel gevallen die tot nu toe aanvaardbaar werden geacht - namelijk alle impliciete vormen van toestemming - niet langer bestaan zodra de GDPR volledig van kracht wordt in mei 2018.

Online bedrijven en platforms moeten hoe dan ook voorzien zijn van systemen waarmee ze eenvoudig kunnen bewijzen dat expliciete toestemming is gegeven. Impliciete bevestigende toestemming is niet voldoende: elk gebaar van toestemming moet duidelijk voelbaar zijn.

Het verwerken van gegevens van minderjarigen in de nieuwe GDPR

Wanneer persoonsgegevens van minderjarigen zijn, stelt een algemene regel dat de officiële leeftijd van toestemming om de verwerking van persoonsgegevens van minderjarigen binnen het bereik van dienstverleners van de informatiemaatschappij (zoals op sociale media of mobiele apps) 16 jaar oud is.

De leeftijd kan echter worden herzien op verzoek. Elke lidstaat kan zijn eigen leeftijd vaststellen, mits deze niet jonger is dan 13 jaar.

In Nederland bijvoorbeeld, is de leeftijd van toestemming momenteel 16 jaar oud. Als iemand jonger is, moeten zijn ouders of voogden toestemming verlenen aan organisaties die namens hen de persoonsgegevens van de minderjarige verwerken.


4. Transparantie

Zoals vermeld, moet ieder geval van gegevensverwerking worden geleverd met gemakkelijk verstaanbare voorwaarden.

In Spanje moet bijvoorbeeld elke verwerking voldoen aan de kwaliteitscriteria zoals gespecificeerd in Wet 15/1990, waarin wordt bepaald dat elk gebruik van privégegevens relevant, pertinent, relatief en niet buitensporig moet zijn.

Om zo transparant mogelijk te zijn, moeten gebruikers te alle tijde hun volledige rechten kunnen uitoefenen, niet alleen door toegang te hebben tot hun gegevens, en deze te kunnen wijzigen, te wissen of te betwisten, maar ook door gebruik te maken van hun recht om te klagen, in het bijzonder lijn met het bekende "recht op vergetelheid”.

macbook_transparantie_beveiliging.jpeg


>>> Gerelateerde post: GDPR: biometrische data in de nieuwe EU Verordening Gegevensbescherming.

5. Beveiliging

Bedrijven en organisaties moeten proactief beveiligingsmaatregelen implementeren die garanderen dat de infrastructuur van het bedrijf beschikt over de juiste verwerkings- en opslagmethoden voor klant- en gebruikersgegevens.

De belangrijkste maatregelen die moeten worden genomen, zijn:

  • Het verzekeren van veilige toegang tot het systeem of de database van het bedrijf;
  • het opzetten van geschikte back-upprocedures;
  • maatregelen nemen om datalekken, de installatie van malware en alle andere bijbehorende risico's, zoals aanvallen door crackers, denial-of-service-aanvallen of systeemfouten enz. te voorkomen.

Bedrijven zijn altijd verplicht om elk type incident te melden aan de autoriteiten en getroffen gebruikers wanneer hun privacy of persoonlijke gegevens in gevaar zijn.

Ze zijn ook verplicht om een data protection officer in dienst te nemen als:

  1. "De verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan, behalve voor rechtbanken die in hun gerechtelijke hoedanigheid optreden;

  2. de kernactiviteiten van de controller of de verwerker bestaan uit verwerkingshandelingen die, vanwege hun aard, hun toepassingsgebied en/of hun doel, een regelmatige en systematische bewaking van betrokkenen op grote schaal vereisen; of

  3. de kernactiviteiten van de controller of de verwerker bestaan uit het op grote schaal verwerken van speciale gegevenscategorieën overeenkomstig met artikel 9 en persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10. "

    Sectie 4, Functionaris voor gegevensbescherming - Artikel 37, Aanwijzing van de functionaris voor gegevensbescherming

Voor beveiligingsaangelegenheden in verband met gegevensverwerking tussen territoria buiten de Europese Unie, zoals tussen de Verenigde Staten en Europa, moet worden gewacht op details die worden vermeld in de aanstaande Privacy Shield-overeenkomst (die Safe Harbor zal vervangen).


CONCLUSIE

Het is duidelijk dat de nieuwe GDPR doelt op het beveiligen en verzekeren van correcte gegevensverwerking, zodat het vrije verkeer van gegevens van burgers binnen de Europese Unie mogelijk is in overeenstemming met de voorwaarden die hier beschreven zijn.

Deze post is ook beschikbaar in het Engels.

Basisgids Algemene Verordening Gegevensbescherming (GDPR)

 



This is a guest post by Vanesa Alarcón Caparrós.

Vanesa is a specialised lawyer in new technologies and intellectual property, and a founding member of Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


vanesa_alarcón_caparrós_gastbericht.jpg

Dit is een gastbericht van Vanesa Alarcón Caparrós.

Vanesa is een gespecialiseerde advocaat in nieuwe technologieën en intellectueel eigendom, en een van de oprichters van Avatic Abogados.

@vanesa_alarcon

@AvaticAbogados


Topics: GDPR

Blog Inschrijving

Recente Posts