[vc_row full_width=”stretch_row”][vc_column][vc_empty_space][vc_single_image image=”3296″ img_size=”full” alignment=”center”][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Wat is de GDPR wetgeving?

 

De General Data Protection Regulation (GDPR) is een nieuwe wet die vanaf 25 mei 2018 voor de gehele Europese Unie in werking treedt. De GDPR wetgeving is een privacywetgeving die de regels omtrent het gebruik van persoonsgegevens nóg strenger zal maken. De invoering van de wet kan grote consequenties hebben voor veel bedrijven.

Deze nieuwe Europese privacywet dwingt iedere ondernemer immers tot meer actie en maatregelen wanneer er gegevens over klanten, personeel en andere personen worden vastgelegd. Zelfs als een bedrijf geen personeel heeft en slechts werkt voor een gering aantal klanten. Al bij het sturen van een offerte, factuur of nieuwsbrief moet rekening worden gehouden met de wet.

Vervanger van de wet bescherming persoonsgegevens

De General Data Protection Regulation vervangt de wet bescherming persoonsgegevens (WBP) en is een nieuwe wet die betrekking heeft op het verzamelen, verwerken en gebruiken van persoonsgegevens. Doelstelling van deze nieuwe wetgeving is om de privacy van de Europese burgers nog beter te beschermen. De burgers wordt het recht gegeven om zelf te bepalen welke instantie de persoonlijke gegevens mogen hebben en waar deze voor gebruikt mogen worden.

Algemene verordening gegevensbescherming (AVG)

Deze algemene verordening gegevensbescherming (AVG), zoals de wet in Nederland wordt aangeduid, is al reeds in mei 2016 in het publicatieblad van de EU gepubliceerd, maar in tegenstelling tot de normale procedures gaat deze wet pas in mei 2018 in. Deze lange tijd wordt uitgetrokken om organisaties en toezichthouders de tijd te geven om zich voor te bereiden.

Er moet goed worden ingeschat wat de impact van de AVG is op de huidige processen, diensten en goederen. Daarnaast moet er worden bekeken welke implementatie aanpassingen nodig zijn om aan deze verordening te voldoen.

Er zijn bedrijven die zelfs verplicht zijn om een functionaris voor gegevensbescherming aan te stellen. Mocht de gegevensverwerking worden uitbesteedt, dan moet er een waterdichte overeenkomst met die partij zijn, die voldoet aan de AVG-normen.

Data protection impact assessment (DPIA)

Dit laatste geeft duidelijk aan hoeveel impact deze wet heeft in een tijd waar datalekken (waarvan de meldplicht van toepassing blijft) veel voorkomen. Een overtreding van de wet kan tot torenhoge boetes leiden. Het is dan ook een verstandig besluit voor bedrijven om een data protection impact assessment (DPIA) uit te voeren.

Een DPIA is een instrument om vooraf de privacy risico’s van gegevensverwerking in kaart te kunnen brengen met als doel de risico’s te verkleinen. Bedrijven die in branches actief zijn waarbij een verhoogd risico is bij de gegevensverwerking, zijn verplicht een DPIA uit te voeren.

Waar je als ondernemer op moet letten met de GDPR wetgeving

Naast de mogelijkheid om een DPIA uit te voeren zijn er andere zaken waar je als ondernemer zeker op moet letten met betrekking op de GDPR wetgeving. Dit begint met een stuk bewustwording van alle betrokken medewerkers over de nieuwe privacy regels. De nieuwe wetgeving is immers een uitbreiding op de WBP.

Rechten als inzage, correctie en verwijdering van persoonsgegevens blijven van kracht maar worden aangevuld met rechten als dataportabiliteit waarbij personen op eenvoudige wijze hun gegevens in handen moeten kunnen krijgen en indien gewenst kunnen overbrengen naar andere organisaties. Daarbij moet een bedrijf veel aandacht besteden aan de vastlegging van de toestemming van de betrokkenen voor gegevensverwerking.

Transparantie voor de verantwoordingsplicht

In de wet is een verantwoordingsplicht omschreven, waarbij de gegevensverwerking in een verwerkingsregister in kaart moet worden gebracht. Transparantie is hierbij van groot belang. Er moet aangegeven worden welke persoonlijke gegevens gebruikt zijn, met welk doel deze gegevens gebruikt zijn, waar de gegevens vandaan komen en met wie de gegevens gedeeld zijn.

Deze transparantie moet ook duidelijk naar de klanten worden gecommuniceerd. De klanten moeten een privacyverklaring makkelijk kunnen vinden op een website en moeten direct ervan overtuigd worden dat deze verklaring op geen enkele wijze wordt geschonden. Websites kunnen dit bijvoorbeeld doen door op iedere pagina een hyperlink naar de privacyverklaring te plaatsen en hiernaar nogmaals te verwijzen in het bestelproces.  

Privacy by design

Ook bij het ontwerpen van de aangeboden producten of diensten moeten de persoonsgegevens al direct goed worden beschermd en mogen geen onnodige gegevens worden gevraagd. Dit wordt Privacy by design genoemd.

Dit heeft ook effect op de technische maatregelen van bijvoorbeeld websites. Denk hierbij aan apps die niet automatisch een locatie van de gebruiker laat registreren, een knop op de website waarmee al vanzelf een aanvraag voor aanbiedingen worden aangevraagd of een automatische inschrijving voor nieuwsbrieven.

Gevolgen voor het bedrijfsleven

Producten en diensten moeten privacy proof worden ontwikkeld en ingesteld. Veel bedrijven moeten hier hun volledige structurele manier van werken op aanpassen. Hele teams (die bestaan uit mensen uit de IT, marketing en juridische achtergrond) worden samengesteld om enig risico te voorkomen.

Dit geeft aan hoe groot het belang van deze wet is op het bedrijfsleven. Iedere beweging zal zorgvuldig moeten worden afgewogen. Direct marketing activiteiten en andere manieren om consumenten te benaderen die in het verleden zorgeloos konden worden uitgevoerd moeten nu volledig voldoen aan de nieuwe strenge privacywet.[/vc_column_text][/vc_column][/vc_row]