Algemene Verordening gegevensbescherming 2016/679

Transcriptie

1 Algemene Verordening gegevensbescherming 2016/679

2 Wat is GDPR? GDPR is de afkorting van General Data Protection Regulation (in het Nederlands Algemene Verordening Gegevenbescherming of AVG), de nieuwe Europese wetgeving over het beschermen van persoonsgegevens, die op 25 mei 2018 van kracht wordt in alle Europese lidstaten. In principe is GDPR niet helemaal nieuw. Het vervangt de Data Protection Directive, de databeschermingsrichtlijn uit Deze richtlijn was verouderd, en sloot niet meer aan bij de huidige digitale maatschappij. Een goede 20 jaar geleden was er immers geen sprake van cloud of social media. De wetgeving werd op het einde van vorig jaar goedgekeurd, en bestaat uit twee delen: de Regulation, die van toepassing is op de bedrijfswereld, en de richtlijn, voor overheidsdiensten zoals politie en justitie. Beiden treden ze in mei 2018 officieel in werking; het komende jaar zal fungeren als een overgangsperiode. Waarom GDPR? GDPR is ontworpen om persoonsgegevens beter te beschermen in een digitaliserende wereld. De richtlijn houdt rekening met bestaande beginselen van gegevensbescherming (bv. gegevensbeveiliging en minimalisatie), legt meer en meer vergaande verplichtingen op aan bedrijven die persoonsgegevens verwerken en geeft personen meer rechten ten aanzien van hun gegevens. Daardoor krijgen personen meer controle over of, wanneer, hoe en aan wie hun gegevens worden verstrekt en waarvoor deze mogen worden gebruikt. GDPR tracht de wetgeving inzake gegevensbescherming te standaardiseren, omdat die wetgeving per lidstaat op vandaag zeer sterk kan verschillen. Op wie is GDPR van toepassing? Onder Persoonsgegevens wordt alle informatie verstaan op basis waarvan een persoon direct of indirect kan worden geïdentificeerd. Je kan hierbij denken aan de naam, het adres, het rijksregisternummer, profiel, de login-gegevens,. Bijna elke verwerking wordt beschouwd als een verwerking (verzamelen, opslaan, raadplegen, gebruiken) als ze ergens in een bestand wordt opgenomen of automatisch wordt verwerkt. De verordening inzake GDPR is van toepassing op elke volledig of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens alsook op elke niet-geautomatiseerde verwerking van gegevens bestemd om opgenomen te worden in een bestand. Territoriaal moet er met GPDR rekening worden gehouden, zowel wanneer de verantwoordelijke voor verwerking binnen de EU gevestigd is als wanneer de verwerkingsverantwoordelijke zich buiten de EU bevindt, doch diensten aanbiedt (en dus gegevens opslaat) van betrokkenen binnen de EU.

3 73% van de CIO s heeft, in een onderzoek van Beltug, toegegeven dat GDPR regelgeving hen wakker houdt. Het is hun nummer 1 prioriteit om dit te implementeren FIGUUR 1 BELTUG GDPR inhoudelijk GDPR breidt de verplichtingen voor bedrijven en de rechten voor personen aanzienlijk uit. Hieronder een overzicht van de veranderingen: VERANTWOORDELIJKHEID GDPR voert een aantal nieuwe verplichtingen voor bedrijven in, waarvan het overkoepelende beginsel van verantwoordelijkheid (accountability) het belangrijkste is. Het betekent dat je als bedrijf GDPR niet alleen moet respecteren, maar ook zelf moet kunnen aantonen dat je deze geïmplementeerd hebt. Dit principe zal jouw bedrijf verplichten om de nodige policies in te voeren, de veiligheid van data te verzekeren en het beleid en initiatieven rond de verwerking van persoonsgegevens goed te documenteren. DATA PROTECTION BY DESIGN & DEFAULT Deze beginselen verplichten jouw bedrijf om na te denken vooraleer je met gegevensverwerking begint. Jouw bedrijf moet reeds van bij de start van een project met verwerking van persoonsgegevens nadenken over hoe die gegevens kunnen worden beschermd (data protection by design).

4 Wanneer jouw bedrijf verschillende opties aanbiedt in producten of diensten, moet je standaard de meest privacy vriendelijke optie instellen (data protection by default). Daarnaast is het mogelijk dat GDPR jouw bedrijf verplicht om een register bij te houden van alle gegevens die je verwerkt. Bij gevoelige gegevensverwerkingen moet je ook een voorafgaande risicobeoordeling (een data protection impact assessment) uitvoeren. TRANSPARANTIE GDPR mikt op meer transparantie rond gegevensverwerking. Jouw bedrijf moet personen op een begrijpelijke en zeer uitgebreide manier informeren over de gegevens die ze over hen verzamelen en verwerken. Dit gaat onder meer over de informatie over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking. Je zal als bedrijf dus meer informatie moeten geven over de doeleinden waarvoor je de gegevens zal gebruiken, de bedrijven die de gegevens zullen ontvangen, hoelang de gegevens bewaard worden etc.. Rechten van de persoon (rights of the data subject) RECHT OP OVERDRAAGBAARHEID VAN GEGEVENS (RIGHT TO DATA PORTABILITY) Onder bepaalde voorwaarden kunnen personen hun gegevens opvragen bij dienstverleners en zelfs vragen om de gegevens rechtstreeks aan een andere dienstverlener te bezorgen. De gegevens moeten gratis worden overgedragen, binnen een tijdspanne van een maand (verlengbaar met 2 maanden), in een gestructureerde gangbare en leesbare vorm. Dit kan enkel voor gegevens die de betrokken persoon heeft verstrekt op basis van toestemming of overeenkomst. RECHT OP GEGEVENSWISSING (RIGHT TO ERASURE RIGHT TO BE FORGOTTEN) Daarnaast wordt het bestaande recht om het verwijderen van gegevens te vragen (right to be forgotten) versterkt. Jouw bedrijf zal in bepaalde gevallen verplicht worden gegevens te wissen als de persoon in kwestie daarom vraagt en als er geen andere motief voor verwerking van die gegevens bestaat. RECHT OP INZAGE (RIGHT OF ACCESS) De persoon van wie je gegevens bijhoudt, heeft het recht om bepaalde gegevens in te kijken en bijkomende informatie te ontvangen over heel wat zaken. Je moet ook een gratis kopie verstrekken van de verwerkte persoonsgegevens binnen de maand (verlengbaar met 2 maanden). RECHT OP VERBETERING VAN GEGEVENS (RIGHT TO RECTIFICATION) Verder heeft de persoon van wie je gegevens bijhoudt het recht om onjuiste of onvolledige persoonsgegevens te verbeteren. Derden aan wie de gegevens worden bezorgd, moeten geïnformeerd worden over de wijzigingen en aan de personen moet meegedeeld worden aan welke derden zijn gegevens werden bezorgd.

5 RECHT OP BEZWAAR (RIGHT TO OBJECT) Personen van wie je de gegevens bijhoudt, hebben het recht zich te verzetten tegen de verwerking van hun gegevens op basis van ernstige en gerechtvaardigde redenen. Wanneer de gegevens verzameld worden voor direct marketingdoeleinden kan de persoon zich kosteloos en zonder verantwoording verzetten tegen de verwerking. Personen moeten uitdrukkelijk geïnformeerd worden over het recht op bezwaar. Dit recht moet ook expliciet vermeld worden in de privacy policy. RECHT OP BEPERKTE VERWERKING (RIGHT TO RESTRICTION OF PROCESSING) GDPR staat ook toe om een beperkte verwerking van uw gegevens aan te vragen. Dit betekent dat uw persoonsgegevens nog worden bijgehouden, maar dat het gebruik ervan beperkt is. De verwerkingsverantwoordelijke mag dan enkel uw gegevens opslaan, maar er mogen geen andere verrichtingen meer mee gebeuren. Wanneer kan je een verwerkingsbeperking vragen? Indien je de correctheid van jouw gegevens betwist. Hierbij kan de verwerking van jouw gegevens beperkt worden tot de verwerkingsverantwoordelijke de juistheid van jouw gegevens heeft kunnen nagaan. Wanneer de verwerking van jouw gegevens onrechtmatig is, maar je niet wilt dat deze gewist worden, kan je in de plaats een beperkt gebruik ervan eisen. Wanneer de verwerkingsverantwoordelijke jouw gegevens niet langer nodig heeft, maar je deze nog wel nodig heeft om jouw rechten vast te stellen, uit te oefenen of te verdedigen voor de rechtbank. Indien je een bezwaar hebt gemaakt tegen de verwerking van jouw gegevens. Gegevensverwerking kan in dit geval beperk worden in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van jou. Wanneer je de verwerkingsbeperking hebt verkregen, moet de verwerkingsverantwoordelijke jou op de hoogte brengen vooraleer hij die beperking opheft. Eens u uw verwerkingsbeperking hebt verkregen, kunnen er op uw persoonsgegevens geen verrichtingen meer gebeuren. Ze kunnen enkel opgeslagen worden. Als men toch bijkomende verwerkingsverrichtingen wil uitvoeren, kan dit slechts in een van de volgende gevallen: U gaf daarvoor uw toestemming Het gaat om de instelling, uitoefening of onderbouwing van een rechtsvordering De rechten van een andere natuurlijke- of rechtspersoon moeten worden beschermd Om redenen van zwaarwegend algemeen belang van de Unie of een lidstaat.

6 MELDINGSPLICHT Ook op het vlak van gegevensbeveiliging, breidt GDPR de verplichtingen voor bedrijven uit, door onder meer een verplichting in te voeren om datalekken te melden. Jouw bedrijf moet een datalek melden binnen de 72 uur, tenzij het niet waarschijnlijk is dat het lek een risico inhoudt voor de verzamelde persoonsgegevens. VERWERKINGSVERANTWOORDELIJKE EN DE VERWERKER Verwerkingsverantwoordelijke is diegene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt (dit zal veelal een juridische entiteit, onderneming zijn tenzij duidelijk is dat een natuurlijk persoon beslissingsbevoegd en verantwoordelijk is). Het is de verwerkingsverantwoordelijke die passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking. Zij die ten behoeve van een verwerkingsverantwoordelijke gegevens verwerken, zijn Verwerkers (bv. Cloud service, externe It partners). Tussen hen dient een overeenkomst met voldoende aandacht voor de eisen van GDPR worden gesloten. Register van de verwerkingsactiviteiten De plicht om een register van verwerkingsactiviteiten bij te houden, zoals in artikel 30.1 van GDPR vermeld staat. Dit register moet schriftelijk en elektronisch bijgehouden worden. Dit moet op verzoek ter beschikking gesteld worden van de toezichthoudende autoriteit. Voor bedrijven die slechts incidenteel persoonsgegevens verwerken voor hun personeels- en loonadministratie geldt een vrijstelling van deze plicht evenals voor bedrijven met minder dan 250 werknemers, tenzij deze bewust persoonsgegevens verwerken dan wel gegevens die zeer gevoelig of risicovol zijn. Zijn er voordelen aan GDPR? Hoewel GDPR met heel wat kritiek werd onthaald, zijn er ook voordelen aan verbonden. De eenmaking van een versnipperd juridisch kader is daar een goed voorbeeld van. De interpretatie van de vorige wetgeving (het Data Protection Directive) was zo uiteenlopend dat bedrijven in het verleden rekening moesten houden met 28 verschillende raamwerken rond databescherming. Dit zal vanaf nu vereenvoudigd worden. GDPR zorgt binnenkort voor 1 juridisch kader dat geldt in heel Europa. Dit maakt het makkelijker voor bedrijven om hun activiteiten in het buitenland uit te breiden, aangezien dezelfde wetgeving van toepassing is.

7 WAT ALS IK NIET VOLDOE AAN GDPR? Wie GDPR overtreedt, riskeert serieuze boetes. Wanneer uw data bijvoorbeeld niet correct worden beheerd, wanneer u een datalek niet meldt of geen risico-assessment gedaan heeft, of iemand een geldige klacht indient, kan de boete oplopen tot 2% van uw jaaromzet. Voor ernstige misdrijven en nalatigheden tegen GDPR zijn de boetes onderworpen aan administratieve geldboeten tot EUR of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is Referenties: Volgende week: Stappenplan voor GDPR compliance.