Wat is GDPR?

De GDPR is de Engelse benaming voor de Algemene verordening gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Vanaf die datum geldt dezelfde privacywetgeving in de gehele Europese Unie. De wet heeft als doel om alle privacygevoelige gegevens die organisaties bezitten te beschermen. Organisaties moeten niet alleen voldoen aan de GDPR, ze zullen het ook moeten kunnen aantonen. 25 mei 2018 komt snel dichterbij en de maatregelen die moeten worden getroffen, zijn voor sommige organisaties intensief. Daarnaast zijn de boetes (en daarmee gepaard gaande reputatieschade) hoog. Dit betekent veel (extra) werk, en dus kunt u er niet vroeg genoeg mee beginnen.

Wat beoogd de GDPR?

Met de GDPR wil de EU personen meer controle geven over de manier waarop organisaties met persoonsgegevens omgaan. U herkent het wel; voor elke app die u installeert, moet u ‘consent’ geven voor het delen van allerhande data. Bedrijven mogen die data vervolgens verkopen of uitwisselen met andere bedrijven. Daar moet de GDPR nu een stokje voor steken. De huidige wetgeving stamt nog uit de tijd van het traditionele internet en is op sommige gebieden achterhaald. De cloud-technologie heeft voor nieuwe manieren gezorgd om gegevens te exploiteren. De GDPR gaat dat aanpakken. Door de wetgeving inzake gegevensbescherming te versterken en zwaardere handhavingsmaatregelen te introduceren, beoogt de EU het vertrouwen in de opkomende digitale economie te verbeteren.

Verder wil de EU organisaties een eenvoudigere en duidelijkere juridische omgeving bieden om te functioneren, waardoor de wetgeving inzake gegevensbescherming in de hele EU-markt identiek wordt.
Op dit moment kent ieder EU-lid zijn eigen regelgeving en voor pan-Europees werkende bedrijven betekent dat veel werk en kosten. Met de GPDR schat de EU dat bedrijven collectief €2,3 miljard per jaar zullen besparen.

GDPR?

De GDPR geldt voor alle organisatie die werken met persoonsgegevens; en dat doet haast elk bedrijf tegenwoordig. Denk aan CRM-, ERP-, . Belangrijk daarbij is de rol die een bedrijf speelt in het proces van dataverwerking. Zo wordt er onderscheid gemaakt tussen enerzijds organisaties die in het bezit zijn van persoonsgegevens of de opdracht hebben uitbesteed om persoonsgegevens te verwerken (controllers) en anderzijds organisaties die persoonsgegevens verwerken. Dit loopt van opslag tot en met het inzien van persoonsgegevens (processors).

Enkele cijfers: Bijna de helft van alle managers weet niet wat de GDPR inhoudt en wat de gevolgen zijn en haast een kwart van de managers heeft geen idee welke persoonsgegevens zijn opgeslagen in hun organisatie.

De belangrijkste wijzigen per 25 mei 2018

Toezichthouder in Nederland is de Autoriteit Persoonsgegevens (AP). De AP gaat toezichthouden op de naleving van de GDPR. Onder de nieuwe wet zal het toezicht uitgebreider worden en de sancties strenger dan onder de huidige Wet bescherming persoonsgegevens (Wbp). Kortom, het centraal stellen van de klant, en zuinig zijn op de data van uw klant, wordt belangrijker dan ooit.

Het is belangrijk dat u duidelijk het proces vastlegt volgens welke u data verwerkt en bewerkt. U moet dat namelijk op verzoek direct kunnen aantonen. Wanneer u gegevens vastlegt, moet u daarover richting uw klanten duidelijk zijn en hen op een begrijpelijke en bondige manier aangeven hoe u dat doet. Wanneer u de klant een formulier (digitaal) laat invullen mag er onder de nieuwe wet bijvoorbeeld niks meer vooraf aangevinkt zijn: de klant moet voortaan expliciet toestemming geven voor een bepaald onderdeel. Doel van de GDPR is om de klant meer rechten te geven en om opdringerige reclames terug te dringen.

Waar het in essentie om gaat, is dat u als organisatie (mensen, processen en systemen) zorgvuldig, rechtmatig en op een structurele manier omgaat met persoonlijke gegevens. Is er volledig inzicht in de opslag ervan? Waar worden deze (digitaal) bewaard? Weet u wie de rechten heeft om deze gegevens te benaderen? Zo niet, dan kan (een vermoeden van) een datalek niet snel getraceerd worden en bent u niet aantoonbaar compliant. Met alle vervelende gevolgen van dien…. voor ú!