GDPR: TOP 10 veranderingen in de nieuwe Europese Verordening Gegevensbescherming

Posted by media on 1-mei-2018 9:00:00

gdpr_dit_moet_je_weten_top_10.png

Alle Europese bedrijven zijn zich ervan bewust dat ze zich moeten houden aan de nationale wetgeving voor gegevensbescherming.

Maar met de opkomst van de nieuwe Europese Verordening Gegevensbescherming (GDPR) ontstaan er twijfels: voldoet de manier waarop gegevens momenteel worden verwerkt wel aan de nieuwe verordening? Zo niet, wat moet er worden gedaan om hieraan te voldoen?

Deze verordening die in mei 2016 werd geïntroduceerd is vanaf 25 mei 2018 volledig van toepassing in de Europese Unie. Bedrijven moeten zich zo snel mogelijk vertrouwd maken met de nieuwe vereisten en procedures om sancties te voorkomen als het zover is.

Hieronder bespreken we de 10 meest relevante wijzigingen waaraan alle bedrijven zich moeten houden om te voldoen aan de nieuwe GDPR.

Deze post is ook beschikbaar in het Engels.


Algemene Verordening Gegevensbescherming: Wat moeten bedrijven doen om eraan te voldoen?

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (GDPR) betreft de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van die gegevens, en trekt Richtlijn 95/46/EG in.

Deze verordening moderniseert de Europese wet voor gegevensbescherming en verenigt de wetgeving van de verschillende lidstaten, wat een stap vooruit betekent op weg naar de verwezenlijking van een daadwerkelijke digitale markt.

Het is ontworpen om burgers meer controle te geven over hun persoonlijke gegevens en zodoende meer vertrouwen te wekken voor Europese consumenten die online aankopen doen in verschillende staten van de unie.

Hoewel naleving verplicht is vanaf 25 mei 2018, moeten betrokkenen zich vertrouwd beginnen te maken met de GDPR omdat het de verplichtingen verhoogt voor Europese bedrijven, zzp’ers, overheidsdiensten en bedrijven buiten de EU die producten of diensten aanbieden aan inwoners van de EU-lidstaten, of degenen die persoonsgegevens vanuit de EU ontvangen.


>> Gerelateerde post: Hoe zal de Europese Verordening Gegevensbescherming de verzekeringssector beïnvloeden?


Vanwege het belang en de uitbreiding (het bestaat uit 173 eerdere overwegingen en 99 artikelen), benoemen we hieronder de 10 belangrijkste wijzigingen die zijn ingevoerd door de Europese Verordening Gegevensbescherming:

 

10 kernonderdelen van de nieuwe Europese Verordening Gegevensbescherming

 

1. Nieuwe beginselen

Artikel 5 van de GDPR bevat de lijst met de beginselen waar rekening mee moet worden gehouden bij de verwerking van persoonsgegevens. We benadrukken de volgende:

 

  • Beginsel van transparantie (5.1.a)

"Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is."

Dit principe is gericht op het vergemakkelijken van relaties tussen de verwerkingsverantwoordelijke en de betrokkene, alsook tussen de verwerkingsverantwoordelijke en de controleautoriteiten.

Er verschijnt een "register van de verwerkingsactiviteiten" in de GDPR.

Dit register zal intern gebruikt worden en bevat onder andere de volgende gegevens:


  • de naam en de contactgegevens van de verwerkingsverantwoordelijke
  • naam van de vertegenwoordiger van de verwerkingsverantwoordelijke
  • de verwerkingsdoeleinden
  • een beschrijving van de categorieën van betrokkenen
  • een beschrijving van de categorieën van persoonsgegevens
  • internationale doorgifte van persoonsgegevens

 

  • Beginsel van doelbinding (5.1.b)

"Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (...)."

Deze uitdrukkelijke en gerechtvaardigde doeleinden moeten worden bepaald op het moment van gegevensverzameling.

 

  • Minimale gegevensverwerking (5.1.c)

Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.”

In de gouden eeuw van Big Data vereist dit principe de toepassing van passende technische en organisatorische maatregelen om ervoor te zorgen dat alleen de persoonsgegevens die nodig zijn voor de specifieke verwerkingsdoeleinden worden verwerkt (artikel 25.2).

 

2.  Nieuwe rechten van burgers

In de Europese Verordening Gegevensbescherming worden de volgende nieuwe rechten erkend:

  • Recht op transparante informatie (artikel 12)
  • Recht op gegevenswissing (recht op vergetelheid) (article 17)
  • Recht op beperking van de verwerking (artikel 18)
  • Recht op overdraagbaarheid van gegevens (artikel 20)

Vanwege de belangrijke praktische gevolgen analyseren we het recht op vergetelheid en het recht op overdraagbaarheid in meer detail:

Degenen die verantwoordelijk zijn voor de gegevens en die de informatie aan derden hebben verspreid, zijn ook verplicht om hen op de hoogte te stellen van de verplichting om elke link naar de gepubliceerde gegevens te verwijderen en om elke kopie of replicatie van die gegevens te elimineren.

Het doel is om elk spoor van de gegevens van elke persoon die permanent "vergeten" wil worden uit het netwerk en zoekmachines te verwijderen.

  • RECHT OP OVERDRAAGBAARHEID

De GDPR biedt de mogelijkheid om gegevens van de ene gegevensbeheerder naar de andere te verzenden, zodat de betrokkene het recht heeft om persoonsgegevens rechtstreeks door te sturen wanneer dit technisch mogelijk is.

Een typisch voorbeeld is wanneer een particulier zijn telefoonprovider of elektriciteitsbedrijf wil veranderen: overdraagbaarheid maakt het mogelijk dat de persoonsgegevens van het individu direct worden overgedragen aan het nieuwe bedrijf op een snelle en eenvoudige manier voor de eindgebruiker.

Naast deze nieuwe rechten vereist de GDPR ook dat er zichtbare, toegankelijke en eenvoudig beschreven procedures worden gecreëerd om betrokkenen te helpen bij de uitoefening van hun rechten. Dit moet ook mogelijk zijn via elektronische middelen, zoals aangegeven in overweging 59.

 


3. Uitbreiding van de verplichting tot informatieverstrekking

De verordening geeft de verplichting om over nieuwe aspecten te rapporteren:

  • de rechtsgrondslag voor gegevensverwerking moet worden toegelicht
  • de bewaringstermijn moet worden vermeld
  • de mogelijkheid om claims te maken moet worden vermeld
  • de overige rechten die zijn opgenomen in de nieuwe GDPR moeten worden vermeld

Het is daarom raadzaam om de informatieclausules die zijn opgenomen in de gegevensverzamelingsprocessen te herzien en de nieuwe aspecten hierin op te nemen om te voldoen aan de vereisten van de GDPR.

verplichting_tot_informatieverstrekking.png

 

4. Toestemming verkrijgen voor gegevensverwerking

Om te kunnen overwegen dat betrokkenen hun toestemming verlenen voor de verwerking van hun gegevens, geeft de GDPR aan dat er een verklaring van de betrokkene moet zijn of een actieve handeling waarmee de wil van deze laatste geuit wordt.

 

Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden (overweging 32 van de GDPR).

 

Daarnaast zijn er andere belangrijke wijzigingen aangebracht met betrekking tot de verwerking van gegevens van minderjarigen.

Vanaf 25 mei 2018 mogen diensten van de informatiemaatschappij niet worden aangeboden aan kinderen onder de 16 jaar zonder de toestemming van hun ouders of wettelijke voogd, tenzij een nationale wet een lagere leeftijd vaststelt die in geen geval minder dan 13 jaar oud mag zijn.

 

Moet er uitdrukkelijke toestemming worden verkregen voor bestaande klanten in overeenstemming met de nieuwe GDPR?

Een van de aspecten die de meeste discussie veroorzaken is de manier waarop de toestemmingen worden gereguleerd van klanten of gebruikers die voor de inwerkingtreding van de Europese Verordening Gegevensbescherming zijn verkregen.

Daar is de nieuwe GDPR hard in: als de toestemming niet duidelijk geïdentificeerd werd of gebaseerd werd op stilzwijgende formulieren of door weglating, moet deze opnieuw worden aangevraagd.

Daar moet rekening mee worden gehouden omdat gegevensverwerking zonder toestemming van de gebruiker wordt beschouwd als een zeer ernstige overtreding volgens de nieuwe verordening.

 

 

5. Neem veiligheidsmaatregelen en onderneem actie

De GDPR bepaalt dat veiligheidsmaatregelen moeten worden toegepast, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en het doel van de verwerking evenals de risico's voor de rechten en vrijheden van natuurlijke personen. (Artikel 25; Gegevensbescherming door ontwerp en door standaardinstellingen).

In de verordening wordt gesproken over "passende technische en organisatorische maatregelen" om het nodige niveau van beveiliging te waarborgen, maar geeft niet precies aan welke maatregelen daarvoor moeten worden toegepast.

Volgens de verantwoordingsplicht in de GDPR (artikel 5.2) moet de verwerkingsverantwoordelijke de passende technische en organisatorische maatregelen nemen om te garanderen en te kunnen aantonen dat de verwerking in overeenstemming is met de verordening.

De GDPR stelt een effectieve naleving van gedragscodes voor, of certificeringsmechanismen als effectieve manier om de overeenstemming met de verordening te controleren (artikel 42.3 van de GDPR).

Daarom vereist de GDPR dat bedrijven een bewuste, ijverige en proactieve houding hebben tegenover gegevensverwerking en in staat zijn om, indien nodig, de toegepaste beveiligingsmaatregelen aan te tonen.

 

beveiligingsmaatregelen_nemen.jpeg

 

6. Beoordeling van het effect van de verwerking van persoonsgegevens

Een andere nieuwe verplichting die door de GDPR is opgesteld, is het uitvoeren van een effectbeoordeling voor organisaties die gegevensverwerking uitvoeren die een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich mee kan brengen. De oorsprong, aard, het specifieke karakter en de ernst van een dergelijk risico moeten worden beoordeeld (overweging 84 van de GDPR).

 

7. Communicatie met de gegevensbeschermingsautoriteit bij inbreuk

Een andere belangrijke verandering is de verplichting die de GDPR oplegt aan de gegevensbeheerder: het melden van inbreuken van gegevensbeveiliging.

Met andere woorden, de verwerkingsverantwoordelijke moet de bevoegde autoriteit binnen 72 uur na het incident op de hoogte stellen van iedere inbreuk op de beveiliging.

Daarnaast moeten betrokkenen ook worden ingelicht als de inbreuk een risico voor hen inhoudt.

 

8. De instelling van de functionaris voor gegevensbescherming (FG)

De GDPR wijdt een hele sectie aan deze nieuwe positie vanwege de relevantie die het heeft voor de toekomst: de functionaris voor gegevensbescherming.

Deze persoon is de adviseur voor gegevensbescherming van het bedrijf en beoefent vaardigheden op het gebied van coördinatie en controle betreffende de naleving van de voorschriften voor gegevensbescherming.

Deze aanstelling is niet verplicht voor alle organisaties: een functionaris is alleen verplicht voor overheidsinstanties, bedrijven die een grootschalige verwerking hebben of uiterst gevoelige gegevens verwerken, of bedrijven die gegevens met betrekking tot veroordelingen of strafbare feiten verzamelen.

Tot de functies die aan een functionaris voor gegevensbescherming worden toevertrouwd, behoren onder meer:

  • toezien op de naleving van deze verordening en het beleid van de verwerkingsverantwoordelijke
  • bewustmaking en opleiding van personeel
  • audits organiseren en coördineren
  • zorgen voor het behoud van documentatie
  • toezien op de uitvoering van effectbeoordelingen
  • optreden als contactpunt voor de toezichthoudende autoriteit

De FG wordt aangewezen met professionele kwaliteiten en vooral vakkennis over wetgeving en gegevensbescherming en de vaardigheden om de taken uit te voeren die in de GDPR zijn vastgelegd.

De functionaris kan worden gekozen uit het bestaande personeel in de organisatie van de verwerkingsverantwoordelijke of de taken kunnen worden vervuld via een dienstverlening.

 versleuteling.png

 

9. Autoriteiten voor gegevensbescherming

De GDPR behoudt het bestaan van de verschillende nationale regelgevende instanties en hun functies, maar ze zullen nu worden gecoördineerd door een instantie die afhankelijk is van de Europese Commissie: de Europese Toezichthouder voor gegevensbescherming (EDPS).

Voor de betrokkenen is er een 'Single-Window'-systeem tot stand gebracht. Dit betekent dat indien zij in een van de lidstaten een claim moeten indienen, ze het gezag van hun eigen land kunnen benaderen.

Van hun kant zullen degenen die verantwoordelijk zijn voor de verwerking van gegevens met centra in verschillende lidstaten in staat zijn om de organisatie van hun privacy beheersysteem in één enkel land te centraliseren (oprichting van een hoofdcontroleautoriteit).

 

10. Hogere sancties

Een van de onderdelen die de meeste discussie en ophef oplevert is het verschil in de hoogte van de boetes die in de nieuwe GDPR zijn vastgelegd.

Tot mei 2018 lopen de straffen uiteen van €900 tot €600.000. Na 25 mei worden er geen minimumbedragen vastgesteld en kan het maximum 20 miljoen euro bereiken of tot 4% van de jaaromzet van de overtreder.

 

SAMENVATTING

De 10 belangrijkste wijzigingen in deze nieuwe verordening zijn:

1. Nieuwe beginselen: transparantie (register van verwerkingsactiviteiten), doelbinding en minimale gegevensverwerking.

2. Nieuwe rechten van de burgers: recht op vergetelheid en recht op overdraagbaarheid.

3. Uitbreiding van de verplichting tot informatieverstrekking.

4. Manieren om toestemming te verkrijgen: een bevestiging van de betrokkene of een actieve handeling als wilsuiting.

5. Oprichting van veiligheidsmaatregelen en acties.

6. Verplichting om effectbeoordelingen uit te voeren om naleving vast te stellen.

7. Nieuwe kennisgevingen aan de controleautoriteit: inbreuken op gegevens.

8. Het aanstellen van een functionaris voor gegevensbescherming.

9. Toepassing van het  "Single-Window"-concept zodat burgers procedures kunnen uitvoeren, zelfs als dit betrekking heeft op de autoriteiten van andere lidstaten.

10. Toename in de hoogte van de sancties.


Conclusie

Dit zijn slechts een aantal van de vele veranderingen die de Algemene Verordening voor Gegevensbescherming bevat.

Bedrijven hebben tot 25 mei 2018 de tijd om hun interne processen aan te passen aan de vereisten van de GDPR.

Bedrijven moeten gebruikmaken van deze periode om de wettelijke, technische en organisatorische maatregelen voor de verzameling van gegevens van hun gebruikers en klanten aan te passen, zodat wanneer de verordening van kracht wordt, zij naleving kunnen garanderen, zowel voor hun eigen klanten als bij de nationale en Europese toezichthoudende autoriteiten.

Deze post is ook beschikbaar in het Engels.


Basisgids Algemene Verordening Gegevensbescherming (GDPR) 

Topics: GDPR

Blog Inschrijving

Recente Posts