De 10 belangrijkste wijzigingen in de GDPR wet

Vanaf 25 mei 2018 treedt de General Data Protection Regulation (GDPR, in de Nederlandse vorm: AVG, Algemene Verordening Gegevensbescherming) in werking. Dit is de nieuwe Europese wet voor databescherming en databeheer. De wet is straks van toepassing op alle organisaties en instanties die persoonsgegevens beheren, opslaan of verwerken. Met deze blog geven wij je graag duidelijkheid over de veranderingen die deze privacywet met zich meebrengt en de zaken waar je rekening mee dient te houden.

De gehele wet draait om persoonsgegevens. Volgens de GDPR zijn persoonsgegevens “alle informatie gerelateerd aan een geïdentificeerde (of te identificeren) natuurlijk persoon (‘data subject’). Een te identificeren persoon is iemand die kan worden geïdentificeerd, direct of indirect, in het bijzonder gerelateerd aan een herkenningspunt zoals een naam, identificatienummer, locatiegegevens, online ID, of op basis van één of meer van de volgende factoren: fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.” Denk hierbij bijvoorbeeld aan haarkleur, gezichtsvermogen (wel/niet brildragend), erfelijke uiterlijke kenmerken, psychische gezondheid, inkomen, geloof en de groep waar een persoon toebehoort.

1. Toepassing

De GDPR wet geldt voor Europese organisaties die persoonsgegevens (laten) verwerken en voor organisaties die buiten de EU zijn gevestigd, maar persoonsgegevens van EU-inwoners (laten) verwerken.

Is de GDPR op jouw organisatie van toepassing? Hoe verlopen de datastromen binnen jouw organisatie?

2. Toestemming

De toestemming voor het verstrekken van persoonsgegevens moet een duidelijke, ondubbelzinnige en bevestigende actie zijn. Persoonsgegevens verzamelen via algemene voorwaarden of vooraf aangevinkte checkboxes mag dus niet meer. Wil je de persoonsgegevens voor meerdere doeleinden gebruiken (bijv. e-mail en DM), dan moet je daarvoor apart toestemming voor vragen. Heb je de toestemming verkregen, dan heeft diegene die het gegeven heeft te allen tijde het recht deze toestemming in te trekken. Er moet daarom duidelijk zijn hoe hij of zij de gegevens kan inzien, wijzigen of laten verwijderen. Als organisatie moet je straks van alle persoonsgegevens kunnen bewijzen dat de persoon toestemming heeft gegeven en zo ja, op welke manier en waarvoor.

Waar en hoe vraagt jouw organisatie toestemming aan personen voor de verwerking van de persoonsgegevens? Moet er op andere plekken nog om toestemming worden gevraagd? Is de toestemming ondubbelzinnig en specifiek gevraagd, dus niet via algemene voorwaarden? Kun je bewijzen dat de persoonsgegevens rechtmatig zijn verkregen?

3. Verwerkingsbeginselen

De GDPR introduceert kernbeginselen waaraan alle verwerkingen van persoonsgegevens moeten voldoen:

  • Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt
  • Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt
  • Alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwerkt
  • Gegevens moeten correct en actueel zijn
  • Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd
  • De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen

Hoe deze verwerkingsbeginselen concreet moeten worden toegepast, staat in onze volgende blogs. Welke stappen je wel en niet moet ondernemen, verschilt namelijk per marketingactiviteit.   

Kun jij als verwerkingsverantwoordelijke bewijzen dat er aan deze verwerkingsbeginselen wordt voldaan? Heb je daar afspraken over gemaakt met de partijen die de persoonsgegevens voor je verwerken? Is je privacy en datasecurity beleid in lijn met de GDPR?

4. Rechten van de betrokkene

De betrokkene is diegene wiens persoonsgegevens worden verwerkt. Het belangrijkste is dat deze persoon eenvoudig en duidelijk op de hoogte wordt gebracht wat er met zijn persoonsgegevens gebeurt. Daarnaast heeft de betrokkene nog meer rechten:

  • Recht op verzet, inzage en rectificatie
  • Recht om vergeten te worden
  • Recht op overdraagbaarheid van zijn data
  • Recht tot beperken van de verwerking
  • Recht tot bezwaar tegen de verwerking

Houd er rekening mee dat de betrokkene te allen tijde het recht heeft om bezwaar te maken tegen de verwerking van zijn of haar gegevens voor direct marketing doeleinden. Wordt dit bezwaar ingediend, dan mogen de gegevens niet meer worden verwerkt voor marketingdoeleinden.

Moet het privacy statement van je organisatie worden aangepast? Welke processen binnen je organisatie moeten worden aangepast om de rechten van de betrokkene te waarborgen?

5. Administratieplicht

Je moet kunnen aantonen dat je voldoet aan alle verplichtingen van de GDPR: toestemming, gegevens informatie, rechten van betrokkenen, beveiliging van gegevens, minimalisatie van de verwerkingen en afspraken met bewerkers. Hierbij is sprake van privacy by design en privacy by default. Privacy by design betekent dat je bij iedere nieuwe dienst, product of bedrijfsproces aandacht moet besteden aan de privacy van persoonsgegevens. Privacy by default betekent dat de standaardinstellingen binnen de organisatie (website, app, programma’s, diensten) zo privacy-vriendelijk mogelijk zijn. Dit wil zeggen dat de maximale privacy wordt betracht en de betrokkene specifiek toestemming moet geven voor de verwerking van persoonsgegevens.

Welke verantwoordelijkheden heeft je organisatie? Heeft je organisatie een correct documentatiesysteem om te laten zien dat het voldoet aan de verplichtingen?

6. Profilering

Profilering volgens de GDPR is de verwerking van persoonsgegevens middels een geautomatiseerd proces, zonder menselijke tussenkomst. Het is elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van die persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Zo is het mogelijk iemand economische situatie, persoonlijke voorkeuren, interesses, locatie, etc. te analyseren of te voorspellen. In de GDPR staat dat er geen geautomatiseerde besluitvorming mag plaatsvinden op basis van profilering, als daaraan rechtsgevolgen voor de betrokkene zijn verbonden. Betrokkenen hebben het recht geïnformeerd te worden over de profilering en zij mogen hier bezwaar tegen maken.

Doet je organisatie aan profilering? Zo ja, is de impact voor de betrokkenen duidelijk, evenals de doeleinden en de rechten die de betrokkene heeft?

7. Inschakelen verwerker

De GDPR heeft een aantal verplichte onderdelen, die terug dienen te komen in een verwerkersovereenkomst:

  • Het doel van de verwerking
  • Het soort persoonsgegevens dat wordt verwerkt
  • De categorieën van betrokkenen
  • Dat passende beveiligingsmaatregelen zullen worden genomen
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt en na afloop van de verwerking het vernietigen of retourneren van de persoonsgegevens aan de verantwoordelijke

Let op: de verwerker mag niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de verantwoordelijke.

Welke verwerkers heeft je organisatie ingeschakeld? Welke afspraken zijn er gemaakt? Zijn de GDPR verplichtingen gewaarborgd?

8. Privacy Impact Assessment (PIA)

Dit is een ‘gegevensbeschermingseffectbeoordeling’ om het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens in kaart te brengen. Het is verplicht wanneer er bij de verwerking nieuwe technologieën worden gebruikt en wanneer er sprake is van een hoog risico (gelet op de aard, omvang, context en doeleinden van de verwerking). Ook is een PIA verplicht bij profilering, indien die profilering een besluit met een rechtsgevolg tot gevolg heeft of de betrokkene wezenlijk treft (zie ook punt 6).

Wat is het privacyrisico voor de betrokkenen van wie de persoonsgegevens worden verwerkt?

9. Meldplicht datalekken

De meldplicht datalekken is sinds 1 januari 2016 actief in Nederland. Met ingang van de GDPR is het echter nieuw dat de verwerker verplicht is een datalek te melden aan de verwerkingsverantwoordelijke (bijv. de opdrachtgever). Daarnaast hoeft er pas een melding bij de toezichthouder te worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden.

Heeft je organisatie een protocol voor datalekken?

10. Overtredingen en sancties

De Autoriteit Persoonsgegeven kan dankzij de GDPR hogere boetes opleggen als er bijvoorbeeld niet rechtmatig toestemming is verkregen of als een organisatie niet voldoet aan de regels omtrent dataverwerking. De maximumboete is 20 miljoen euro of 4% van de wereldwijde omzet.

Is het personeel op de hoogte van de nieuwe regels? Zijn de procedures en processen binnen je organisatie afgestemd op de nieuwe wetgeving?

Wat kunnen wij voor je doen?

Veel aspecten binnen de GDPR wet zijn op dit moment nog grijze gebieden. Wij informeren, adviseren en assisteren je graag bij het implementeren van de GDPR richtlijnen. Zo kijken we waar je nu staat en welke stappen we moeten nemen om aan de nieuwe wetgeving te voldoen.

Vragen? Neem dan contact op met Linda van der Veen: l.vanderveen@cmcgroep.nl 

Laat een reactie achter

Neem contact met ons op

We zijn op dit moment niet online. Mail een bericht en we nemen zo spoedig mogelijk contact met je op.

Geef een zoekterm en druk op enter

CMCG online update