GDPR

Vanaf 25 mei 2018 gaat er een nieuwe regeling van kracht in verband met de verwerking van persoonsgegevens die bedrijven van klanten krijgen. Deze nieuwe regeling is de GDPR (General Data Protection Regulation). Dit zal vanaf dan van kracht zijn in heel Europa. Ze hebben deze nieuwe wetgeving in het leven geroepen om mensen hun data te beschermen. Niet iedereen weet wat er juist gebeurt met de gegevens die je aan bedrijven geeft. Je gaat er zelf vanuit dat er niet veel mee gedaan wordt en dat dit veilig wordt opgeslagen. Dit is echter niet altijd waar. Er zijn bedrijven waar al grote datalekken geweest zijn zonder dat ze dit gecommuniceerd hebben. De bedoeling van deze nieuwe regeling is dat mensen weten hoe hun gegevens behandelt worden en dat Europa hier controles op doet. In dit blogbericht gaan we een overzicht geven van wat er juist verandert voor de bedrijven. Een korte opsomming van de belangrijkste punten van GDPR

• Bescherming van persoonlijke data van de Europese burgers
• Maatregelen tegen hackers en datalekken
• Gaat in op 25 mei 2018
• Procedure voor dataverzameling- en opslag van persoonlijke gegevens
• Toestemming vragen om gegevens te verzamelen
• Right to be forgotten
• Verhoogde security en maatregelingen
• Datalek moet gemeld kunnen worden binnen de 72 uur
• De nationale autoriteiten kunnen boetes toepassen
• Grote bedrijven moeten een DPO (Data Protection Officer) aanstellen

Bescherming van persoonlijke data van Europese burgers

Dit is waarvoor de GDPR in het algemeen is goedgekeurd. Er moet een betere bescherming zijn voor alle persoonlijke data die bij bedrijven zelf of in een cloudomgeving wordt opgeslagen van Europese burgers. Met persoonlijke data bedoelen ze alles dat aan een bepaalde persoon gelinkt kan worden zoals e-mailadres, rijksregisternummer, adres, telefoonnummer… . Iedereen heeft al wel eens een online formulier ingevuld op een website of zijn gegevens doorgestuurd aan een bedrijf. Het zijn net die gegevens die beschermd en beveiligd moeten zijn.

Maatregelen tegen hackers en datalekken

Bedrijven moeten op de hoogte zijn en zichzelf beveiligen tegen hackers of grote datalekken. Hackers worden alsmaar inventiever en vinden steeds nieuwe manieren om gegevens te stelen. Het is dus aan de bedrijven om hun systeem zo goed mogelijk te beveiligen tegen deze nieuwe manieren. Alles up-to-date houden en een degelijke firewalls opstellen is een must om de hackers voor te blijven.

GDPR gaat in op 25 mei 2018

Op 25 mei 2018 gaat de GDPR in na 4 jaar debateren. De wetgeving is op Europees niveau goedgekeurd op 14 april 2016. De effectieve ingang is pas meer dan 2 jaar na de goedkeuring. Hier zit zoveel tijd tussen omdat ze de overheden genoeg tijd willen geven om dit te communiceren aan de bedrijven en de bedrijven dan op hun beurt weer genoeg tijd willen geven om de nodige aanpassingen te doen.

Procedure voor dataverzameling- en opslag van persoonlijke gegevens & toestemming vragen om gegevens te verzamelen

Het is belangrijk dat de mensen die hun gegevens achterlaten de procedure kennen van de verzameling en opslag van hun data. Ze moeten ook toestemming geven dat ze met deze procedure akkoord gaan. Transparant zijn is dus de boodschap. Er moet duidelijk worden gecommuniceerd wat het doel is met de gegevens, waar deze wordt opgeslagen en/of de gegevens met 3^e partijen worden gedeeld. In dat laatste geval moet er toestemming zijn dat dit mag. Als er geen toestemming gegeven wordt en ze doen dit toch, staan er zware boetes op voor de bedrijven die dit niet respecteren.

Right to be forgotten

Mensen hebben het recht om vergeten te worden. Als ze willen dat hun gegevens verwijdert worden, moet dit ook effectief gebeuren en niet ergens gearchiveerd worden om er enkele jaren later nog eens iets mee te doen. Dit principe is “the right to be forgotten” en moet gerespecteerd worden door alle bedrijven die de gegevens bezitten.

Verhoogde securitymaatregelen

Om ervoor te zorgen dat alle gegevens veilig zijn, zullen veel bedrijven de beveiliging van alle gegevens moeten verbeteren. Als ze gehackt worden en de hackers alle gegevens hebben, zijn hier dure gevolgen aan verbonden als de oorzaak een slechte beveiliging is. Als er toch een lek zou zijn, moeten ze dit binnen de 72 uur communiceren aan de betrokken personen, tenzij het lek geen gevaar is voor de verzamelde persoonlijke gegevens.

De nationale autoriteiten kunnen boetes toepassen

Als er niet voldaan wordt aan alle regels van de GDPR, kunnen er hoge boetes opgelegd worden. De autoriteiten zullen dus controles doen om ervoor te zorgen dat alle bedrijven toch aan de regels voldoen. De boetes kunnen zeer hoog oplopen (van 2% tot 4% van de jaarlijkse omzet) dus ervoor zorgen dat je in orde bent is de boodschap.

In grote en relevante organisaties moet een DPO (Data Protection Officer) aangesteld worden

Als je een grote organisatie hebt en veel persoonlijke gegevens behandelt, moet je een DPO aanstellen. Deze persoon moet overzien of alles volgens de regels gebeurd en op tijd aanpassingen doen als dit niet het geval zou zijn. Als er toch iets fout zou lopen blijft het bedrijf verantwoordelijk en is niet hij de kop van jut aangezien het om veel verantwoordelijkheid gaat voor één persoon. In de volgende sectie kan je zien of jouw bedrijf een DPO zal moeten aanstellen.

Wanneer een DPO aanstellen?

Niet elk bedrijf moet een DPO aanstellen. In het begin werd er gezegd dat dit enkel bij organisaties moest gebeuren die meer dan 250 werknemers hebben. Dit heb ze aangepast omdat het niet over de omvang van het bedrijf gaat, maar over de aard van de onderneming. In het wetboek staat dat je een DPO moet aanstellen als:

• de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
• een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, omvang en/of doelstellingen regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (bijvoorbeeldin monitoren van analytics);
• de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens (bijvoorbeeld persoonsgegevens waaruit ras, politieke opvattingen of religieuze overtuigingen blijken) en van persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.

Conclusie

De invoer van GDPR zal voor bepaalde bedrijven dus veranderingen met zich meebrengen. Goed geïnformeerd en op de hoogte zijn is dus de boodschap. Wacht ook niet om eventuele aanpassingen te doen in je bedrijfsstructuur tot dit wordt ingevoerd, maar wees er op tijd bij!