General Data Protection Regulation (GDPR)

De General Data Protection Regulation (GDPR) is wetgeving die de privacywetten voor gegevens in de hele Europese Unie (EU) actualiseert en eenvormig maakt. GDPR is op 14 april 2016 goedgekeurd door het Europees Parlement en is op 25 mei 2018 in werking getreden.

GDPR vervangt de EU-richtlijn gegevensbescherming uit 1995. De nieuwe richtlijn richt zich op het transparanter houden van bedrijven en het uitbreiden van de privacyrechten van datasubjecten. Wanneer een ernstig datalek is ontdekt, is het bedrijf volgens de GDPR verplicht om alle getroffen personen en de toezichthoudende autoriteit binnen 72 uur op de hoogte te stellen. De GDPR-mandaten gelden voor alle gegevens van EU-burgers, ongeacht of het bedrijf dat de gegevens in kwestie verzamelt, al dan niet in de EU gevestigd is, en voor alle mensen van wie gegevens in de EU worden opgeslagen, ongeacht of zij daadwerkelijk EU-burgers zijn of niet. De GDPR voorziet ook in sancties voor niet-naleving.

Wat is het doel van de GDPR?

Het doel van de GDPR is personen en de gegevens die hen beschrijven, te beschermen en ervoor te zorgen dat de organisaties die deze gegevens verzamelen, dit op verantwoorde wijze doen. De GDPR schrijft ook voor dat persoonsgegevens veilig moeten worden bewaard; de verordening bepaalt onder meer dat persoonsgegevens moeten worden beschermd tegen "ongeoorloofde of onwettige verwerking, en tegen onopzettelijk verlies, vernietiging of beschadiging."

De redenen voor het verzamelen van persoonsgegevens zijn ook gedefinieerd in de GDPR; de gegevens die worden verzameld, moeten voor een specifiek en legitiem doel dienen en mogen op geen enkele manier worden gebruikt buiten die intentie. The regulation also suggests limits on how much data is collected, saying that data collection should be "limited to what is necessary in relation to the purposes for which they are processed."

This article is part of

What is data protection and why is it important?

  • Which also includes:
  • Comparing data protection vs. data security vs. data privacy
  • 20 keys to a successful enterprise data protection strategy
  • 5 common data protection challenges that businesses face

Download1

Download this entire guide for FREE now!

The GDPR further states that the organization collecting data should ensure it's accurate and updated as necessary.

Under GDPR, companies can't legally process any person's personally identifiable information (PII) without meeting at least one of the following six conditions.

  1. Uitdrukkelijke toestemming van de betrokkene.
  2. Verwerking is noodzakelijk voor de uitvoering van een contract met de betrokkene of om stappen te ondernemen om een contract te sluiten.
  3. Verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.
  4. Verwerking is noodzakelijk om de vitale belangen van een betrokkene of een andere persoon te beschermen.
  5. Verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag dat aan de voor de verwerking verantwoordelijke is opgedragen.
  6. Verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen die door de voor de verwerking verantwoordelijke of een derde worden nagestreefd, behalve wanneer deze belangen zwaarder wegen dan de belangen, rechten of vrijheden van de betrokkene.

Bedrijven die op grote schaal gegevens verwerken of toezicht houden op betrokkenen, moeten bovendien een functionaris voor gegevensbescherming (DPO) aanstellen. De DPO is het boegbeeld dat verantwoordelijk is voor data governance en ervoor zorgt dat het bedrijf zich aan de GDRP houdt. Als een bedrijf de GDPR niet naleeft, kunnen de juridische gevolgen bestaan uit boetes tot 20 miljoen euro (24,26 miljoen dollar) of 4% van de jaarlijkse wereldwijde omzet. Bovendien is de persoon in deze functie verantwoordelijk voor het toepassen van de juiste gegevensbeschermingsprincipes op het onderhoud van persoonsgegevens.

Zorgen over GDPR-naleving Zorgen over de Algemene Verordening Gegevensbescherming zijn onder meer het ontbreken van de juiste tools om gegevens in realtime te monitoren.

Geschiedenis van de GDPR

De wortels van de GDPR van de EU gaan helemaal terug tot het Europees Verdrag tot bescherming van de rechten van de mens uit 1950, waarin de fundamentele mensenrechten zijn vastgelegd die de lidstaten moeten respecteren.

Toen computers alomtegenwoordig werden in het bedrijfsleven en bij de overheid, werd aanvullende regelgeving ingevoerd, zoals het Verdrag inzake gegevensbescherming uit 1981, waarin privacy tot een wettelijk recht werd verklaard.

De Europese gegevensbeschermingsrichtlijn van 1995 is het meest verwant aan de GDPR en wordt gezien als de voorloper van die verordening.

Welke gegevens beschermt de GDPR?

Gebruikers moeten toestemming geven aan elk bedrijf of organisatie die persoonsgegevens wil verzamelen en gebruiken. Zoals gedefinieerd in de GDPR zijn persoonsgegevens informatie die betrekking heeft op "een geïdentificeerde of identificeerbare natuurlijke persoon" -- aangeduid als een "betrokkene."

Persoonsgegevens kunnen deze soorten informatie omvatten:

  • Name
  • Identification number
  • Location data
  • Any information that is specific to "the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person"
  • Biometric data that is acquired through some form of technical process, such as facial imaging or fingerprinting
  • Information related to a person's health or healthcare
  • Racial or ethnic information of an individual
  • Political opinions or religious beliefs
  • Union membership

GDPR-persoonsgegevens Persoonsgegevens kunnen bestaan uit alles van een naam, een foto, een e-mailadres of bankrekeninggegevens tot posts op sociale netwerksites, biometrische gegevens of het IP-adres van iemands computer.

7 beginselen van GDPR

De GDPR bevat zeven basisbeginselen waarop zij haar regelgeving en nalevingsregels met betrekking tot persoonsgegevens baseert:

  1. Wettigheid, eerlijkheid en transparantie. De betrokkene moet duidelijk worden geïnformeerd over de manier waarop zijn gegevens zullen worden gebruikt.
  2. Purpose limitation. Data can be collected only for specific purposes.
  3. Data minimization. The amount of data collected is limited to what is necessary for specific processing.
  4. Organizations collecting data must ensure its accuracy and update it as necessary. Data must be deleted or changed when a data subject makes such a request.
  5. Storage limitation. Collected data won't be retained longer than needed.
  6. Integrity and confidentiality. Appropriate protection measures must be applied to personal data to ensure it's secure and protected against theft or unauthorized use.
  7. Data collectors are responsible for ensuring compliance with the GDPR.

The seven principles of the GDPR underlie specific data subject rights, including:

  • Right to be forgotten. Data subjects can request PII to be erased from a company's storage. Het bedrijf heeft het recht verzoeken te weigeren als het met succes een rechtsgrondslag voor de weigering kan aantonen.
  • Recht op toegang. Betrokkenen kunnen de gegevens inzien die een organisatie over hen heeft opgeslagen.
  • Recht om bezwaar te maken. Betrokkenen kunnen weigeren een bedrijf toestemming te geven om de persoonsgegevens van de betrokkene te gebruiken of te verwerken. Het bedrijf kan de weigering negeren als het kan voldoen aan een van de wettelijke voorwaarden voor het verwerken van de persoonsgegevens van de betrokkene, maar moet de betrokkene hiervan op de hoogte stellen en de reden hiervoor uitleggen.
  • Recht op rectificatie. Betrokkenen kunnen verwachten dat onjuiste persoonlijke informatie wordt gecorrigeerd.
  • Recht op portabiliteit. Betrokkenen kunnen toegang krijgen tot de persoonlijke gegevens die een bedrijf over hen heeft en deze overdragen.

Wie moet de GDPR naleven?

Alle organisaties die persoonlijke gegevens verzamelen van burgers van een EU-lidstaat moeten de GDPR naleven. Dat geldt ook voor organisaties die buiten de Unie zijn gevestigd - zij moeten nog steeds voldoen aan de GDPR als zij persoonsgegevens van een burger van een lidstaat verzamelen.

De voorschriften zijn van toepassing ongeacht de methode die wordt gebruikt om persoonsgegevens te verzamelen; dit omvat ook gegevens die zijn verzameld via andere methoden dan websites en andere internettools. De GDPR definieert drie verschillende rollen met betrekking tot persoonsgegevens:

  1. Data subject. Eigenaar van persoonsgegevens.
  2. Data controller. De persoon of organisatie die bepaalt welke persoonsgegevens worden verzameld en hoe deze zullen worden gebruikt.
  3. Data processors. De persoon of organisatie die persoonsgegevens voor de voor de verwerking verantwoordelijke verwerkt.

Meldingen van inbreuken

In geval van een inbreuk op de beveiliging die gevolgen heeft voor opgeslagen persoonsgegevens, moet de voor de verwerking verantwoordelijke de toezichthoudende autoriteit binnen 72 uur na de inbreuk op de hoogte stellen. De toezichthoudende autoriteit wordt gedefinieerd als de overheidsinstantie die door de EU-lidstaat is aangewezen om toezicht te houden op de naleving van de GDPR.

Een aantal aanvullende vereisten die relevant zijn voor inbreukmeldingen zijn:

  • Als de melding niet binnen de toegewezen 72 uur wordt gedaan, moet de voor de verwerking verantwoordelijke de reden voor de vertraging opgeven.
  • Inbreukmeldingen moeten ten minste de aard van de inbreuk, het aantal en de soorten persoonsgegevens van betrokkenen die gecompromitteerd kunnen zijn en het aantal gegevensrecords dat erbij betrokken kan zijn, bevatten.
  • De organisatie die de gegevens beheert, moet ook alle mogelijke gevolgen van de inbreuk beschrijven en aangeven welke maatregelen zullen worden genomen om de gevolgen te beperken.
  • De kennisgeving van de inbreuk op de gegevens moet rechtstreeks aan de slachtoffers worden bezorgd en niet in de vorm van een algemene aankondiging.
  • De voor de verwerking verantwoordelijke moet de inbreuk en de toegepaste maatregelen documenteren en de documentatie ter verificatie aan de toezichthoudende autoriteit verstrekken.

boetes en sancties voor niet-naleving

Sancties voor niet-naleving of voor inbreuken op de gegevensbescherming kunnen streng zijn. Om te bepalen welke sancties passend zijn, worden verschillende criteria beoordeeld, waaronder de ernst van de inbreuk, de duur van de inbreuk, het aantal betrokkenen dat door de inbreuk is getroffen en de omvang van de schade die de inbreuk heeft veroorzaakt.

Andere factoren die van invloed kunnen zijn op de sancties zijn:

  • Inbreuk in verband met persoonsgegevens veroorzaakt door nalatigheid of opzet
  • Het niet bijhouden van een adequate registratie van de verzameling en verwerking van persoonsgegevens; boetes kunnen oplopen tot 10 miljoen euro of 2% van de jaaromzet
  • Het niet naleven van bevelen van toezichthoudende autoriteiten; deze boetes kunnen oplopen tot 20 miljoen euro of tot 4% van de totale omzet

Risico's van niet-naleving GDPR Als organisaties de GDPR niet naleven, kunnen ze boetes en rechtszaken tegemoet zien.

Hoewel de GDPR nog maar een paar jaar van kracht is, zijn er tot op heden al enkele aanzienlijke boetes opgelegd, zoals:

  • British Airways. Meer dan 200 miljoen euro
  • Marriot Hotels. Meer dan 100 miljoen euro
  • Google Inc. 50 miljoen euro

GDPR en gegevens van derden

Er zijn verschillende verordeningen met betrekking tot persoonsgegevens die zijn verkregen van andere partijen dan de betrokkenen en met betrekking tot het delen van persoonsgegevens buiten de EU.

  • Een voor de verwerking verantwoordelijke moet toestemming krijgen om gegevens door te geven aan een ander land of een internationale organisatie.
  • Als persoonsgegevens worden verzameld uit andere bronnen dan de betrokkene, moet de voor de verwerking verantwoordelijke een beschrijving van de gegevens en de herkomst ervan aan de betrokkene verstrekken.

Sommige critici hebben hun bezorgdheid geuit over de terugtrekking van het Verenigd Koninkrijk uit de EU met betrekking tot het effect op de naleving van de GDPR door het land. Het Verenigd Koninkrijk heeft zijn Data Protection Act 1998 geactualiseerd met een nieuwe wet, de Data Protection Act 2018. De nieuwe wet sluit nauw aan bij de regels die in de GDPR zijn vastgelegd, maar van Britse bedrijven die zaken doen met klanten of andere organisaties in EU-lidstaten wordt verwacht dat zij zich aan de GDPR houden.

6 stappen om GDPR-naleving te waarborgen

De GDPR beschrijft de verwachte resultaten van goed en verantwoord gegevensbeheer, maar definieert geen specifieke technische maatregelen die gegevensverzamelaars moeten gebruiken om dat doel te bereiken.

Een aantal best practices om naleving van de GDPR te waarborgen zijn:

  1. Vraag altijd voordat je persoonlijke gegevens verzamelt; de betrokkenen moeten bereidwillige deelnemers zijn.
  2. Verzamel alleen wat je echt nodig hebt; organisaties zullen verantwoordelijk zijn voor alle gegevens die ze verzamelen, of ze die nu gebruiken of niet.
  3. Deel geen gegevens met andere entiteiten, tenzij gebruikers daarmee hebben ingestemd en toezichthoudende autoriteiten de transactie hebben goedgekeurd.
  4. Versleutel alle persoonsgegevens -- zowel in rust als tijdens de vlucht.
  5. Zorg voor ten minste twee actuele en veilige back-ups van alle persoonsgegevens op twee afzonderlijke off-site locaties.
  6. Heb de tools om specifieke items van persoonsgegevens eenvoudig te bewerken of te verwijderen en om de acties te verifiëren en te documenteren.