Sommige bedrijfstakken zijn in rep en roer: de ‘GDPR’ komt er aan. Maar wat is dat nou precies, die GDPR? En wat betekent dat voor uw bedrijf?

Wat is de GDPR?
GDPR staat voor General Data Protection Regulation, een Europese Verordening waarin regels worden gesteld om de persoonlijke gegevens van EU-ingezetenen te beschermen tegen verlies, diefstal en misbruik. De GDPR geldt voor alle bedrijven, instellingen en instanties, ook buiten de EU, die persoonsgegevens van personen die in de EU verblijven verzamelen en bewaren.

De GDPR zal op 25 mei 2018 in werking treden. De toezichthouder (in Nederland: de Autoriteit Persoonsgegevens) wordt dan bevoegd om maatregelen te nemen tegen organisaties die zich niet aan de GDPR-voorschriften houden. Dit zijn forse boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. De regels gelden niet alleen voor de beheerders maar ook voor de verwerkers van persoonsgegevens.

Een aantal dingen waar we ons in Nederland op grond van de geldende privacywetgeving al aan moesten houden was het vragen van toestemming om data te verzamelen, verwerken en te gebruiken, om cookies te plaatsen en om e-mails met aanbiedingen te sturen. Nieuw is wel dat nu geen algemene toestemming meer mogelijk is, maar dat organisaties toestemming per onderwerp en soort boodschap moeten krijgen.

Belangrijkste eisen van GDPR
Gegevensbescherming moet al in het ontwerpstadium van systemen worden meegenomen en niet dus later worden toegevoegd. Alleen gegevens die noodzakelijk zijn voor de afronding van taken mogen bewaard en verwerkt worden. Slechts de daadwerkelijke verwerker mag toegang hebben.

Organisaties moeten eventuele datalekken binnen 72 uur na ontdekking melden aan de toezichthoudende autoriteit en aan de burgers van wie de data zijn gelekt.

Organisaties moeten op eerste verzoek aan een burger melden of zijn persoonsgegevens zijn verwerkt, waar en voor welke doel. Burgers krijgen ook recht op een kosteloze digitale kopie van hun persoonsgegevens.

Burgers kunnen hun persoonsgegevens niet alleen opvragen bij organisaties, maar ook laten doorsturen naar een andere organisatie.

Burgers hebben het recht om te eisen dat een organisatie hun persoonlijke gegevens verwijdert. Een organisaties moet de gegevens verwijderen zodra iemand zijn toestemming intrekt of als het bewaren daarvan niet meer bijdraagt aan het oorspronkelijke doel.

Organisaties met als kerntaak het op grote schaal verwerken van persoonsgegevens, het monitoren van personen of de gegevensverwerking rond strafrechtelijke veroordelingen moeten een Data Protection Officer in dienst nemen.

Hoe nu?
Vervolgens moet u op basis van die risico-rapportage schriftelijk beleid en procedures maken. Van dat beleid en die procedures moeten alle medewerkers op de hoogte zijn, dus laat ze tekenen voor akkoord.

U moet zorgen voor een goede beveiliging van de IT-omgeving. Tot slot moet u afspraken maken met derden die bij de gegevens zouden kunnen, en die goed vastleggen.