GDPR: waar staan we nu?
De term “GDPR”, ofwel de Europese General Data Protection Regulation, is je ondertussen vast wel ter ore gekomen. Maar, weet je eigenlijk wel wat het precies inhoudt? Wat zijn de basisprincipes en wat voor effect heeft deze nieuwe wetgeving op jou en op je bedrijf? Geen zorgen! Cristian van Nispen is onze ‘GDPR expert’ en legt in de onderstaande video uit wat de huidige stand van zaken is omtrent de GDPR.
In een notendop
De GDPR wordt in Europa ingevoerd per 25 mei 2018. Vanaf dat moment dienen alle EU lidstaten hun privacywetgeving hierop te hebben aangepast. De GDPR brengt een aantal wijzigingen met zich mee. In het kort zal deze wet gaan zorgen voor het beschermen van de rechten van individuen wiens persoonsgegevens worden verwerkt. Die rechten worden versterkt en uitgebreid. Zo moet een individu in begrijpelijke taal worden geïnformeerd over welke informatie met welk doel wordt verzameld, en hoe lang deze informatie wordt opgeslagen. Ook moet een individu de mogelijkheid krijgen zijn data te (laten) wijzigen of verwijderen. Een ander voorbeeld van een nieuw recht in deze wetgeving is het recht van data overdraagbaarheid. Dit recht vereist dat je de mogelijkheid moet krijgen om de over jou opgeslagen data op een veilige wijze over te dragen van de ene naar de andere partij. Bijvoorbeeld wanneer je een contract bij de ene partij stopzet en een ander contract aangaat.
Maar, met name vereist de GDPR een hogere mate van verantwoordelijkheid van organisaties die persoonsgegevens verwerken. Dit geldt zowel voor de data eigenaren (organisaties die het doel en de middelen van het verwerken van persoonsgegevens bepalen) en de verwerkers (organisaties die gegevens verwerken in opdracht van een data eigenaar). Beide partijen worden verplicht aansprakelijkheid en een controleproces te tonen. Dit dienen ze te doen door gedegen organisatorische en technische maatregelen te treffen die ervoor zorgen dat data veilig wordt verwerkt. Voorbeelden daarvan zijn bijvoorbeeld de mogelijkheid voor individuen om zich eenvoudig uit te kunnen schrijven voor e-mailings met marketingdoeleinden. Maar ook het opstellen van een protocol ten behoeve van het tijdig melden van datalekken en het onderhouden van een hoog beveiligingsniveau van IT systemen waarin persoonsgegevens worden opgeslagen vallen hieronder. Wanneer deze nieuwe wetgeving niet wordt gevolgd dan mag de Nederlandse Autoriteit Privacy omvangrijke boetes opleggen.
Cookie consent?
Inmiddels is duidelijk dat de GDPR geen expliciete richtlijnen over cookieconsent bevat, maar daarin terugvalt op de geldende nationale regels, zoals de geüpdatete Algemene Verordening Gegevensbescherming in Nederland. Daarin staan de nu ook al geldende regels voor (cookie) consent.
Next steps?
De awareness fase is elk bedrijf als het goed is nu wel voorbij. Je moet nu echt al actief zijn met het in kaart brengen van:
- welke gegevens je verwerkt
- waar je ze opslaat
- hoe ze beveiligd zijn
Breng je cookie consent op orde, en zorg dat je documentatie zoals bewerkersovereenkomsten en een protocol datalekken op orde hebt.
Een mooi moment om te inventariseren wat je eigenlijk aan data verzamelt, en hoe je het inzet. Daar zouden stiekem nog wel eens mooie kansen in kunnen zitten!
