Vanaf 25 mei 2018 zal de nieuwe Europese privacy-wetgeving (beter bekend als GDPR en AVG) van kracht gaan. Aangezien we steeds meer vragen krijgen over dit onderwerp heb ik de belangrijkste elementen van deze wetgeving in dit artikel uitgeschreven.
1 Wat is GDPR?
De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) heeft als doel om de persoonsgegevens en de privacy van de Europese burgers beter te beschermen in de gedigitaliseerde wereld van vandaag. Hier kan je de officiële verordening van de EU zelf doornemen.
2 Is het van toepassing voor mijn bedrijf?
Hier kan ik kort zijn: Ja! De wetgeving is van kracht voor elke ondernemer in Europa die gebruikmaakt van persoonlijke informatie van mensen binnen zijn of haar organisatie.
3 Waarom een nieuwe wetgeving?
De GDPR of AVG is de opvolger van de DPD (Data Protection Directive) wetgeving uit 1995 die vaag en teveel voor interpretatie vatbaar was. Het gevolg was dat de verschillende lidstaten van de EU hun eigen regels of boetes hanteerden. Door de invoering van de AVG wil Europa iedereen terug op dezelfde lijn krijgen om zo naar een ééngemaakte digitale markt toe te groeien.
4 Wat is het doel van de GDPR?
- Transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
- Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
- Gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
- Juistheid: de persoonsgegevens moeten correct zijn en blijven
- Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
- Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
- Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen
5 Wat als mijn onderneming ISO27001 gecertificeerd is?
ISO27001 is een internationaal erkende norm voor het beveiligen en beheren van persoonlijke data en komt in grote lijn overeen met de eisen voor de nieuwe privacy-wetgeving. Deze was echter niet wettelijk verplicht om te behalen waardoor niet iedereen dit heeft of kent. Met de nieuwe wetgeving zal iedereen verplicht zijn om zich aan te passen naar deze normen. Dit is echter niet hetzelfde als de databeschermingsrichtlijn die momenteel van toepassing is.
De GDPR vervangt de databeschermingsrichtlijn, die in België is omgezet in de privacywet. De GDPR en de privacywet zijn echter in vele opzichten verschillend. Bijvoorbeeld verschillen in de wijze waarop de gebruiker toestemming moet verlenen voor de verwerking van zijn of haar data, en de manier waarop de gebruiker geïnformeerd moet worden bij datalekken. Wel is het zo dat het voldoen aan de privacywet zorgt voor een eenvoudigere overgang naar de GDPR.
6 Krijg ik een boete als ik niet in orde ben?
Op dit moment bestaan er ook al regels rond het beheer en de bescherming van data en bij het vaststellen van een overtreding staan daar in principe ook boetes tegenover. In de praktijk is dat bij mijn weten (voor zover ik het zelf kan terugvinden in de nationale databases van veroordelingen en uitspraken) echter nog nooit gebeurt . Op grond van de nieuwe verordening kunnen de volgende boetes worden opgelegd (bron):
- Een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
- Een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
- Een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
- Een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).
Wil dit zeggen dat je vanaf mei een audit kan verwachten? Zo'n vaart zal het voorlopig wel niet lopen. Heel wat internationale bedrijven bewandelen momenteel een (donker)grijze zone wat betreft hun omgang van de data van de Europese burgers. Iets wat door de invoering van deze wetgeving hopelijk zal aangepakt worden. Hoe dan ook gelden wetten voor iedereen dus je kan je er maar beter bewust van zijn.. Een gewaarschuwde ondernemer is er 2 waard!
Bekijk ook deze artikels vol handige tips en advies:
- 7 tips om beter te scoren online met een smart site
- 8 praktische SEO tips om hoger te staan in Google
- 24 sneltoetsen en gebaren voor Mac
- Met deze 31 sneltoetsen haal je meer uit Windows & GRATIS upgrade naar Windows 10
- Nieuwe website laten maken? 12 redenen om te kiezen voor een smart site
- De illusie van privacy & 10 gratis tips en tools om jezelf te beschermen
- Wat is 5G? En wat houdt het in voor ondernemers en bedrijven?