GDPR

De General Data Protection Regulation (GDPR) is de nieuwe privacywetgeving die geldig is binnen de Europese Unie. De nieuwe wet geeft Europese burgers meer controle over hun persoonsgegevens, garandeert transparantie over het gebruik van data en vereist bepaalde technische en organisatorische maatregelen om data te beschermen. De GDPR is vanaf 25 mei 2018 van toepassing in de gehele EU en vervangt de Wet bescherming persoonsgegevens (Wbp)

De GDPR is al in april 2016 ingevoerd in de EU, maar gezien de grote veranderingen die sommige organisaties moeten ondergaan om te kunnen voldoen aan de wet, is er een overgangstermijn van twee jaar.
 
Wat zijn persoonsgegevens ?
In de GDPR gaat het allemaal om het beveiligen en verwerken van persoonsgegevens. Hier valt veel meer onder dan je in eerste instantie zou denken. Persoonsgegevens zijn volgens de nieuwe wet "alle gegevens over een geidentificeerd of identificeerbare persoon". Met andere woorden: alle informatie waarmee je een persoon kunt herkennen. Denk hierbij aan iemands naam, e-mail adres, telefoonnummer, adres, bestelgeschiedenis, creditard gegevens en transacties. 
 
Het doel van de GDPR
Ten eerste wil de EU mensen meer controle geven over hoe hun persoonsgegevens worden gebruikt. De Wbp was vastgesteld voordat internet en cloudtechnologie nieuwe manieren creeerden om persoonsgegevens te verwerken. De GDPR richt zich juist hierop. Door de wetgeving inzake gegevens bescherming te verbeteren en strengere handhavingsmaatregelen te treffen, hoopt de EU het vertrouwen te vergroten in de opkomende digitale economie. 
Ten tweede wil de EU organisaties een meer eenvoudige en duidelijke juridische omgeving bieden om te functioneren, waardoor wetgeving inzake gegevensbescherming in de hele EU-markt identiek wordt. De EU schat dat bedrijven collectief € 2,3 miljard per jaar zullen besparen.
 
Welke bedrijven hebben te maken met de GDPR ?
De kans is groot dat de GDPR ook voor jouw bedrijf van toepassing is. De GDPR geldt namelijk voor alle bedrijven die persoonsgegevens van Europese betrokkenen (Europese burgers) verwerken. Ook bedrijven die gevestigd zijn buiten de EU, maar producten en diensten aanbieden aan Europese burgers en daarbij hun gegevens verwerken, moeten zich aan de verordening houden. Deze organisaties zullen een GDPR compliance programma moeten ontwikkelen.
 
Wat zijn de gevolgen van het niet naleven van de nieuwe wet ?
Bedrijven die zich niet houden aan de GDPR, kunnen flinke boetes verwachten van de Autoriteit Persoonsgegevens (AP), de toezichthouder op de naleving van de wettelijke regels voor bescherming van persoonsgegevens.Artikel 38 van de GDPR bepaalt dat de AP boetes mag opleggen op basis van verschillende factoren die in artikel 83 staan.
Er wordt gekeken naar:
  • de aard, ernst en duur van de overtreding (bijvoorbeeld hoeveel mensen zijn er getroffen en hoeveel schade zij hebben geleden);
  • of de overtreding een bewuste keuze was of het gevolg van nalatigheid;
  • het type persoonsgegevens dat betrokken is. Er zijn twee boetecategorieen die bedrijven kunnen verwachten als ze niet aan de wet voldoen. De eerste categorie zijn boetes van maximaal 10 miljoen euro of 2 procent van de wereldwijde omzet. Deze boetes zullen doorgaans worden uitgedeeld bij eerste overtredingen. De tweede categorie zijn boetes van maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet. Een organisatie kan dit type boetes verwachten in geval van nalatigheud, herhaalde overtredingen of grove schendingen. 
 
Hoe bereid je jouw bedrijf voor op de GDPR ?
25 mei 2018 komt steeds dichterbij en dus ook de deadline om op alle vlakken te voldoen aan de GDPR. Als jouw bedrijf persoonsgegevens van Europse betrokkenen verwerkt en zich nog niet aan het voorberereiden is op de GDR, dan is het nu tijd om actie te ondernemen.
 
Breng in kaart welke persoonsgegevens jouw bedrijf heeft.
Te eerste is het belangrijk om te bepalen of de GDPR voor jouw bedrijf geldt en zo ja, in welke mate. De analyse begint met het identificeren welke persoonsgegevens je hebt en hoe deze zijn opgeslagen en worden verwerkt. Door jouw bedrijfsdata in kaart te brengen, begrijp je welke data persoonsgegevens zijn en kun je identificeren op welke systemen de persoonsgegevens verzameld opgeslagen zijn. Daarnaast begrijp je waarom deze gegevens zijn verzameld, hoe ze zijn verwerkt en hoe lang ze bewaard worden.
 
Identificeer jouw rol in het gebruik van persoonsgegevens
De volgende stap is het identifieren van jouw rol in het gerbuik van persoonsgegevens; ben je een data-controller of een data-processor ? Een data-controller stelt vast hoe en waarom persoonsgegevens zijn verwerkt, terwijl een een data-processor daadwerkelijk de gegevens verwerkt. De data-controller kan elke organisatie zijn, van een commercieel bedrijf tot en met een non profit organisatie of een overheidsinstantie. Een data-processor kan een IT-bedrijf zijn die de data daadwerkelijk verwerkt. Als je eenmaal weet wat jouw rol is, dan kun je bepalen wat jouw verantwoordelijkheden zijn wat betreft de databeveiliging.
 
Ontwikkel een sterk beveiligingsprogramma.
De momst van de GDPR is een mooie kans om jouw beveiligingsprogramma te analyseren en verbeteren. Databeveiliging vereist een sterk beveiligingsprogramma. Hierbij moet je denken aan een beleid, systemen en technologieen die helpen om jouw organisatie te beschermen tegen ongeautoriseerde toegang en misbruik.
 
Verwerk persoonsgegevens alleen bij toestemming van betrokkenen.
Daarnaast is het belangrijk dat je weet hoe de persoonsgegevens verzameld worden en dat dit juridisch ondersteund kan worden. Zo mag je alleeen persoonsgegevens verwerken als je expliciet toestemming hebt gekregen van de betrokkene. Jouw bedrijf kan bijvoorbeeld persoonsgegevens van een klant hebben gekregen om een product of dienst te leveren, maar dit  betekent niet dat je ook toestemming hebt om over toekomstige producten of promoties te communiceren. Voor elke specifieke activiteit moet je toestemming krijgen. De toestemming moet altijd weer ingetrokken kunnen worden.
 
Bepaal of jouw bedrijf een Data Protection Officer nodig heeft.
Bovendien moet je bepalen of jouw bedrijf een Data Protection Officer (DPO) nodig heeft. Om te voldoen aan de GDPR moeten sommige organisaties een DPO, in het Nederlands een Functionaris voor de Gegevensbescherming (FG), hebben. Een DPO is verantwoordelijk voor het bewaken en implementeren van een databeveiliging strategie, zodat het bedrijf voldoet aan de GDPR. Organisaties moeten een DPO in dienst hebben voordat de GDPR in werking treedt. Het is dus belangrijk om op tijd een DPO te werven en aan te nemen.
Ik raad aan om een gekwalificeerd persoon verantwoordelijk te stellen voor het beveiligen van persoonsgegevens en GDPR compliance. In een aantal situaties is een bedrijf echter verplicht een DPO aan te stellen:
  • Als de persoonsgegevens worden beheerd of verwerkt door een overheidsorganisatie. Rechtbanken vormen een uitzondering op deze regel.
  • Bedrijven die regelmatig en systematisch op grote schaal persoonsgegevens verwerken
  • Bedrijven die op grote schaal persoonsgegevens verwerken van bijzondere, vaak voor strafrechterlijke doeleinden bestemde informatie. Gegevens met betrekking tot misdaden en veroordelingen vallen hier ook onder. 

Slechts een zeer klein aantal bedrijven in ons land is op zoek naar een data protection officer (dpo). Dit, terwijl het aanstellen van een databeschermer vanaf 25 mei 2018, wanneer de Algemene Verordening Persoonsgegevens (AVG) ingaat, verplicht is voor een groot aantal bedrijven.

Uit diverse analyse blijkt dat de zoektocht naar data protection officers (dpo’s)  pas de afgelopen maanden echt op gang is gekomen. Ondanks een vervijfvoudiging ten opzichte van 2016 wacht het grootste deel van de organisaties nog met het aantrekken van een databeschermer: het aantal uitgeschreven vacatures valt in het niet bij het aantal bedrijven dat verwacht een dpo nodig te hebben. Ook overheidsorganisaties hebben geen haast: van de 388 gemeenten in Nederland schreven er de afgelopen drie jaar slechts 25 een of meerder dpo-vacatures uit. Bedrijven tasten in duister

Het is simpel onduidelijk is welke bedrijven nu verplicht zijn om een data protection officer aan te stellen. Veel organisaties tasten in het duister. In eerste instantie gold de verplichting voor bedrijven met meer dan 250 medewerkers, maar dat is weer gewijzigd. Nu zijn het vooral instellingen en organisaties die met persoonsgegevens werken die een dpo in dienst moeten nemen. Ict-bedrijven en publieke instanties vallen hier in onze opinie zeker wel onder. Maar uiteindelijk wordt het in de wet in het midden gelaten.

Er is een rode lijn te vinden is in waar een dpo aan moet voldoen. 52 procent van de functies vereist juristen; in 23 procent van de vacatures wordt hier een minimumeis  van vijf tot acht jaar ervaring aan toegevoegd. Zo’n 8 procent geeft de voorkeur aan personen met een studie bedrijfskunde, met een specialisatie in rechten of fiscaal beleid. De 76 procent van de dpo-vacatures die juridische professionals vragen, vereisen ook een specialisatie in wetgeving rondom nieuwe technologieën of een opleiding in de bescherming van persoonsgegevens. Tot slot vraagt 22 procent om een master in Europees recht. Het zou goed kunnen dat de vacatures bij veel bedrijven intern worden ingevuld.  Wel zien we de afgelopen drie maanden een enorme stijging, dus de bedrijven die wel extern op zoek gaan naar een databeschermer, zijn daar nu echt mee begonnen.

Dit jaar werden er naar verwachting 755 vacatures voor dpo’s uitgeschreven. Een stijging ten opzichte van de twee jaar daarvoor, toen er in het totaal maar 206 vacatures werden uitgeschreven. Ook afgelopen jaar waren de verschillen echter groot. Sinds september werden maar liefst 440 vacatures uitgeschreven: ruim meer dan de helft van het totaalaantal vacatures dit jaar. Ondanks dat het aantal vacatures dit jaar meer dan vijf keer zo groot was als de 142 vacatures in 2016, vinden bedrijven opvallend makkelijk een geschikte kandidaat: dpo-vacatures stonden gemiddeld slechts vijftien dagen open, tien dagen korter dan het gemiddelde van alle vacatures op de Nederlandse markt. Aangenomen dat de snelle stijging in het vacatureaanbod aantoont dat een groot deel van de bedrijven extern naar een databeschermer opzoek gaan, lijkt het overgrote deel van de Nederlandse bedrijven desondanks te wachten met het aanstellen van een beschermer van hun bedrijfsdata. Uit een inventarisatie van Nederland ICT blijkt dat 44 procent van de ict-bedrijven verwacht een dpo te moeten aanstellen om aan de nieuwe wetgeving te voldoen. Met de 72.000 ict-bedrijven die Nederland volgens het CBS eind 2016 telde, zijn de 967 vacatures die sinds 2015 door 557 organisaties werden uitgeschreven dus bij lange na niet genoeg: dpo’s zullen de bedrijven de komende maanden voor het uitzoeken hebben. Ook organisaties in de publieke sector lijken nog geen haast te maken: van de 388 gemeenten in Nederland waren er sinds januari 2015 slechts 25 opzoek naar een dpo.

Ontwikkel een datalek-beleid.
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat een bedrijf melding moet doen bij de AP in geval van een datalek. Soms moet een datalek ook gemeld worden aan de betrokkenen (de personen van wie de persoonsgegevens zijn gelekt). De meldplicht datalekken blijft onder de GDPR grotendeels hetzelfde. De GDPR stelt wel strengere eisen aan jouw registratie van de datalekken. De Europese Commissie heeft in oktober 2017 richtlijnen gepubliceerd over de meldplicht datalekken onder de GDPR.
De GDPR legt vast dat bij een datalek in jouw bedriif, je binnen 72 uur melding moet maken bij de AP. De acties die in de eerste 24 uur ondernomen worden, zijn cruciaal. Een snelle reactie kan ervoor zorgen dat een datalek minder impact heeft op de betrokkenen. 

 

 

 

 

.