General Data Protection Regulation (GDPR): dit zijn de 5 belangrijkste verplichtingen uit deze Europese wet

De General Data Protection Regulation (GDPR) is een Europese “wet” die op 25 mei 2018 in werking treedt. De GDPR (Algemene Verordening Gegevensbescherming) geldt voor bedrijven en overheden. De wet gaat over bescherming en beheer van persoonsgegevens van websitebezoekerss, prospects, klanten, medewerkers ... Als je niet aan de GDPR voldoet, riskeer je een monsterboete.

Dit zijn de 5 belangrijkste verplichtingen om die boetes te ontlopen.

1 GDPR legt nieuwe verplichten op aan bedrijven en overheden

Als de General Data Protection Regulation op 25 mei 2018 in werking treedt en je als bedrijf aan deze wet moet voldoen, moet je een register bijhouden van verwerkingsactiviteiten. Dit register vervangt de aangifteplicht bij de Privacy Commissie (Meer over Verschil tussen Data Protection Reguslation (GDPR) en de Privacywet).

Daarnaast is het als onderdeel van de verantwoordingsplicht vereist om bij risicovolle projecten gegevensbeschermingseffectbeoordelingen (Privacy Impact Assessment of PIA) uit te voeren. Het gaat om activiteiten die een risico inhouden voor de rechten en vrijheden van personen, denk aan stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, de verwerking op grote schaal van gezondheidsgegevens, etc.

Zijn er incidenten, bv. jouw databank met gegevens wordt gehacked of je zet die databank per ongeluk zelf online, dan ben je verplicht die binnen 72 uur te melden bij de Privacycommissie en in sommige gevallen aan de betrokkenen zelf.

Bedrijven moeten privacy by design & default implementeren. Dit wil zeggen dat enerzijds databeschermingsprincipes moeten worden ingebakken bij nieuwe verwerkingsprojecten en anderzijds dat de standaardinstellingen slechts de minimum hoeveelheid persoonsgegevens mogen verwerken.

Om dit in goede banen te leiden kun je verplicht worden een Data Protection Officer (DPO) aan te stellen: check hier of je verplicht een DPO moet aanstellen.

2 GDPR geeft de betrokkenen nieuwe rechten

Betrokken zijn jij en ik, namelijk elke geïdentificeerde of identificeerbare natuurlijke persoon op wie persoonsgegevens betrekking hebben. Gebruik je bijvoorbeeld facebook, dan ben jij een betrokkene.

Als betrokkene heb je o.a. recht op Dataportabiliteit, namelijk het recht om al jouw persoonsgegevens van één verwerker te laten overdragen naar een andere, net zoals je dat zou doen met jouw telefoonnummer. En het ‘recht om vergeten te worden’, hierbij heb je als betrokkene het recht om jouw persoonsgegevens te laten verwijderen indien de verwerking niet meer gerechtvaardigd is. Dit is o.m. het geval indien men jouw gegevens niet meer nodig heeft voor hun originele doelstelling. (Meer weten over de andere rechten van betrokkenen)

3 GDPR stelt strengere voorwaarden voor bekomen van ‘Consent’

In vele gevallen is het noodzakelijk dat aan de betrokkene zijn toestemming wordt gevraagd om zijn persoonsgegevens te verwerken. Deze toestemming moet gebeuren door middel van een verklaring of een ondubbelzinnige actieve handeling, een checkbox aanduiden, handtekenen, etc.

4 GDPR stelt strengere transparantieregels

Wanneer je persoonsgegevens verwerkt moet je de betrokkene inlichten over die verwerking, je moet hem of haar meedelen waarom je zijn of haar gegevens nodig hebt, aan wie je die gaat doorgeven, etc. Vormelijk moet de privacypolicy op jouw website beschikbaar zijn in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal worden meegedeeld.

5 GDPR verduidelijkt informatieveiligheidsverplichtingen

Informatieveiligheid staat meer dan ooit op de agenda van bedrijven, zeker indien het gaat om persoonsgegevens kan de imagoschade enorm groot zij. Maar ook de GDPR verplicht bedrijven om persoonsgegevens te beveiligen met passende technische en organisatorische maatregelen. Hierbij kan worden gedacht aan encryptie & pseudonimisering, het uitvoeren van audits, het zorgen voor back-ups & redundantie.

Twijfels of vragen over toepassing GDPR?

Neem vrijblijvend contact op en we kunnen je snel duidelijkheid geven over toepassing en/of betekenis van de General  Data Protection Regulation voor jouw bedrijf of organisatie.


Projecten

Particulier – Recht om vergeten te worden in de media

Lees meer Arrow