“Het succes van nieuws wordt bepaald door de waarde”

 

Elke waardevolle informatie is nieuwswaardig. Daarom houden wij u graag op de hoogte van nieuws uit het vak en over het vak. Nieuws over wetten, regelgevingen en normen. Nieuws over consumenten. En natuurlijk nieuws over CDDN.

Laatste nieuws

Alles over de nieuwe Europese wet voor databescherming

door
Martijn de Boer
| 16 nov 2017

Alles wat u moet weten over de nieuwe Europese wet voor databescherming

Op 25 mei 2018 gaat de nieuwe Europese wet voor databescherming in, ook wel de General Data Protection Regulation (GDPR) genoemd. Deze nieuwe wet verscherpt enerzijds de regels van de huidige Wet Bescherming Persoonsgegevens en voegt anderzijds ook een aantal nieuwe verplichtingen toe. Maar wat verandert er dan concreet voor u? Op die vraag geven we in dit artikel antwoord.

Toepassing

De nieuwe wet is niet alleen van toepassing op Europese organisaties die persoonsgegevens (laten) verwerken, maar ook voor organisaties die niet in de EU zijn gevestigd, maar wel persoonsgegevens van EU-inwoners verwerken.

Het begrip persoonsgegevens is geüpdatet naar ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Hiermee bedoelen we wanneer een persoon met behulp van een identificator kan worden geïdentificeerd of uit een groep kan worden geïsoleerd.

Toestemming

Toestemming moet onder GDPR ook een ‘ondubbelzinnige’ wilsuiting zijn. Dus geen vooraf aangevinkte hokjes meer. De vraag om toestemming te geven moet duidelijk, begrijpelijk en in eenvoudige taal zijn. Als organisatie moet u ook kunnen bewijzen dat iemand toestemming heeft gegeven.

Verwerkingsbeginselen

Alle verwerkingen van persoonsgegevens moeten aan onderstaande voldoen:

  • De persoonsgegevens moeten op een behoorlijke, rechtmatige en transparante manier worden verwerkt.
  • De gegevens mogen alleen voor een vooraf bepaald, duidelijk omschreven doel worden verwerkt.
  • Alleen de persoonsgegevens die noodzakelijk zijn, mogen worden verwerkt.
  • De gegevens moeten correct en actueel zijn.
  • Is identificatie niet meer nodig voor het doel? Dan moeten de persoonsgegevens worden verwijderd of ten minste  geanonimiseerd.
  • De persoonsgegevens moeten door middel van technische en organisatorische maatregelen worden beveiligd.

Rechten van betrokkene

Het is belangrijk dat de betrokkene weet wat er met zijn persoonsgegevens gebeurt. Naast het recht op verzet, inzage en rectificatie, heeft deze persoon ook recht om vergeten te worden, het recht op overdraagbaarheid van data, het recht de verwerking te beperken en het recht bezwaar te maken tegen bepaalde verwerkingen.

Administratieplicht

Als organisatie heeft u administratieplicht: u moet kunnen aantonen dat u voldoet aan alle verplichtingen uit de GDPR. Bijvoorbeeld toestemming, gegeven informatie, rechten van betrokkenen, actueel en accuraat houden van opgeslagen persoonsgegevens, beveiliging van gegevens, minimalisatie van verwerking en afspraken met bewerkers. Privacy staat hierbij centraal.

Profilering

Betrokkenen hebben het recht om niet te worden onderworpen aan profilering, als hier rechtsgevolgen aan verbonden zijn of wanneer het besluit hem in ‘aanmerkelijke mate’ treft.

Inschakelen bewerker

Het is onder de GDPR verplicht om een overeenkomst af te sluiten met de bewerkers van uw data. Onderstaande verplichte onderdelen zijn nieuw:

  • Het doel.
  • De persoonsgegevens die worden verwerkt.
  • De categorieën van de betrokkenen.
  • Dat er passende beveiligingsmaatregelen zullen worden genomen.
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt.
  • Na afloop van de verwerking vernietiging of retourneren van de persoonsgegevens aan de verantwoordelijke.

Ook mag er geen derde partij meer worden ingeschakeld zonder dat hier vooraf schriftelijk mee wordt ingestemd.

Privacy Impact Assessment (PIA)

De PIA betekent een beoordeling om het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens in kaart te brengen. Deze beoordeling is verplicht wanneer er bij de verwerking nieuwe technologieën worden gebruikt of wanneer er een hoog risico is.

Meldplicht datalekken

Sinds 2016 kennen we de meldplicht datalekken. Deze meldplicht blijft, nieuw is dat de bewerker onder de GDPR verplicht is een datalek te melden aan de verantwoordelijke en dat er pas een melding bij de toezichthouder moet worden gedaan als er ook echt een lek heeft plaatsgevonden.

Overtredingen en sancties

De GDPR maakt het voor de Autoriteit Persoonsgegevens mogelijk om hogere boetes op te leggen.

Wilt u de wettelijke verplichting naleven en een maximaal rendement uit uw klantgegevens halen? Of heeft u vragen met betrekking tot bovenstaande? Neem dan vrijblijvend contact met ons op. We staan u graag te woord.