Menu

Wat is GDPR / General Data Protection Regulation?

Wat is GDPR

Waarschijnlijk heb je al van de term GDPR gehoord. Deze regelgeving gaat in 2018 van start. Wat houdt de term juist in? Welke gegevens vallen onder deze regels en welke gegevens worden precies beschermd? We leggen het in dit artikel verder uit!

Wat houdt de GDPR in?

De GDPR of in het Nederlands, de Algemene Verordening Gegevensbescherming (AVG), is een lijst van regels en artikels die tot doel heeft om de persoonlijke gegevens van alle inwoners van Europa beter te beschermen. Deze nieuwe wet bestaat in totaal uit 100 artikels en werd al op het eind van 2015 goedgekeurd.

De wetgeving bestaat uit 2 delen: het deel Regulation dat van toepassing is op de zakelijke wereld en het deel Directive dat geldt voor overheden zoals justitie en politiediensten. Ook de cookiewet en de meldplicht datalekken zijn een onderdeel van de GPDR.

Wanneer is GDPR van toepassing?

Vanaf 25 mei 2018 wordt de wet feitelijk van kracht. 2016 en 2017 waren overgangsjaren.

Voor wie is GDPR van toepassing?

GDPR is van toepassing voor alle bedrijven die persoonsgegevens verzamelen. Het begrip persoonsgegevens is in de ruimste zin te interpreteren, het gaat veel verder dan de gegevens die op je identiteitskaart te vinden zijn. Kort samengevat hebben we het over alle gegevens die zowel digitaal als op papier over een persoon te vinden zijn.

Dikwijls wordt er niet aan gedacht, maar gebruikersnamen, tweets, en iemands IP-adres behoren ook tot de persoonsgegevens. Bedrijven verzamelen persoonsgegevens. Vanaf 25 mei 2018 zal dit op een andere manier moeten gebeuren. Dan gaat de GDPR van kracht. Als persoonlijke data beschouwen we gegevens zoals iemands naam, adres, telefoonnummer, e-mailadres of foto. Deze lijst is niet volledig en kan nog worden aangevuld.

Wat betekent GDPR voor uw bedrijf?

Een bedrijf mag enkel die gegevens vragen die nodig zijn om een product of dienst te leveren. Om andere gegevens te kunnen gebruiken, moet expliciet toestemming gevraagd worden. Bijkomend moet iedere onderneming ook een privacy verklaring hebben die in duidelijke taal wordt opgesteld. Deze moet echter wel volledig zijn!

Wie een website heeft, moet zich realiseren dat een dienst zoals Google Analystics gebruik maakt van iemands IP-adres. Ook hiervoor moet je toestemming vragen! Verder moet je site optimaal beveiligd zijn. Wie met persoonlijke data werkt, moet voortaan met https werken, als dat nog niet het geval was!

Voor de duidelijkheid: alle regels die gelden voor een bedrijf gelden ook voor de hosting provider en de webdesigner die een site ontwerpt voor een bedrijf! Elke externe partij waarmee je werkt, moet voldoen aan de GDPR standaard!

Waarom werd de bestaande wetgeving m.b.t. de bescherming van gegevens veranderd?

De vorige wetgeving dateerde nog van 1995. Dit geheel van wetten, de Data Protection Directive, was in de praktijk voor interpretatie vatbaar. Iedere lidstaat van de Europese Unie gaf er een eigen invulling aan. Verder veranderde de wereld op het gebied van data gedurende de afgelopen 20 jaar erg snel. Het is duidelijk dat we nu anders met data omgaan. Fenomenen zoals de cloud en sociale media zijn daar duidelijk voorbeelden van.

Wat als de GDPR overtreden wordt?

Op overtredingen staan fikse boetes. Deze kunnen variëren van 2 tot 4% van de ganse omzet van een onderneming. De hoogte van de boete is afhankelijk van de ernst van de overtreding.

De 4 pijlers van de GDPR:

1. Transparantie

Bedrijven verzamelen data over hun klanten. Dit gebeurt al vanaf het moment dat je iets in een webshop koopt. Hoe met deze gegevens wordt omgegaan tijdens het verzamelen en verwerken, dat is iets waar de klant op de hoogte moet van zijn. Het moet duidelijk zijn waarom data worden verzameld en hoe lang deze gegevens door een bedrijf worden bewaard.

2. Data-overdracht

De Europese burgers hebben het recht hun data over te dragen naar een andere provider. Een voorbeeld hiervan is wanneer je van internetprovider of energieleverancier wisselt.

3. Het recht om vergeten te worden

Firma’s en ondernemingen zijn in vele gevallen verplicht de data van een consument te wissen wanneer deze daarom vraagt. Dit geldt ook voor gegevens die al werden doorgestuurd naar een derde speler. Enkel bij een zwaarwichtige reden, kan dit recht om data te laten wissen, vervallen.

4. Datalekken moeten gemeld worden

Elke datalek moet door een onderneming worden gemeld. Enkel wanneer de persoonlijke gegevens niet in gevaar kwamen, vervalt deze verplichting.

Hoe kan een bedrijf deze regelgeving implementeren?

1. Door middel van een data protection officer

Eerst en vooral is het nodig om data op een veilige, logische en goed gestructureerde plaats te bewaren. In bepaalde gevallen is het een goede raad om hiervoor een data protection officier voor aan te nemen. Een data protection officer is vooral relevant voor grote bedrijven en de overheid. Deze persoon is echter niet wettelijk verantwoordelijk voor alle persoonlijke gegevens die door een grote onderneming verzameld, verwerkt en bijgehouden worden. De eindverantwoordelijkheid blijft m.b.t. persoonsgegevens bij het bedrijf zelf liggen.

2. Sommige bedrijven zijn verplicht om een data protection officer aan te nemen:

Wij denken hierbij aan overheidsinstellingen en organisaties die strafrechtelijke gegevens verwerken en bijhouden. Ook ondernemingen die als taak hebben om speciale categorieën van gevoelige persoonsgegevens zoals ras, religieuze overtuiging, gezondheidsgegevens, politieke voorkeuren te verwerken en op te slaan, zijn verplicht om een data protection officer in dienst te hebben.

Welke kwalificaties moet een DPO hebben?

Hierrond werd in de GDPR niets vastgelegd. Er zijn geen normen op gebied van opleiding of beroep vastgelegd. Het is wel duidelijk dat een data protection offier de wet moet kennen en weten wat gangbaar is bij de bescherming van persoonlijke data.

Voordelen van de GDPR

Er wordt heel wat kritiek geleverd op de GDPR. Daartegenover staat dat deze wetgeving heel wat voordelen heeft. De spelregels zijn duidelijk en niet langer versnipperd en voor interpretatie vatbaar. Zo is er maar één wettelijk kader voor heel Europa en wordt het voor Europese bedrijven gemakkelijker om bij de buren over de grens te werken. Los daarvan betekent de GDPR dat het aantal grensoverschrijdende rechtzaken m.b.t. databeheer zal dalen. De wet is in alle 28 landen toch gelijk.

De verantwoordelijkheid van bedrijven en ondernemingen

Het is duidelijk dat de GDPR moet gerespecteerd worden. Dit is echter niet genoeg. Een onderneming moet ook bewijzen dat alle regels worden toegepast. Bestaande procedures op het gebied van de verwerking en opslag van persoonlijke data zullen moeten worden aangepast.

Eindnoot:

Het is duidelijk dat over het bewaren en beschermen van persoonlijke data nagedacht moet worden. Hoe gaat een bedrijf data beschermen en bewaren? Bij het aanbieden van producten en diensten moet bewaakt worden dat deze privacyvriendelijk zijn. Bovendien hebben ondernemingen de verplichting een log bij te houden van alle persoonlijke data die ze opslaan. Het is duidelijk dat daar gevoelige gegevens kunnen bijzitten. Een preventieve beoordeling van het risico is dan geen overbodige luxe.

Relevante artikels

Advies nodig?

Vraag dan nu een gratis en vrijblijvende scan aan voor uw website.
Wij voeren een uitgebreide scan en stellen een SEO-rapport op met aanbevelingen
voor het verbeteren van de vindbaarheid en de conversie van uw website.

Scan aanvragen