Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op webwereld.nl. Dit vinden wij jammer, want webwereld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor webwereld.nl door deze te whitelisten?
!
Welkom op webwereld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
Justitie

Ben jij klaar voor de nieuwe wetgeving in 2018?

Naast de al langer bestaande Wet Bescherming Persoonsgegevens, is sinds januari 2016 de meldplicht datalekken van kracht. In mei 2018 worden de regels rondom persoonsgegevens nóg strakker getrokken met de nieuwe GDPR. Dat heeft nogal wat consequenties. Zorg dat je er klaar voor bent.

De General Data Protection Regulation is nieuwe Europese wetgeving op het gebied van het verzamelen, verwerken en gebruiken van persoonsgegevens en is bedoeld om de privacy van Europese burgers beter te beschermen. Burgers krijgen in feite het recht om zelf te bepalen wie welke gegevens van ze mogen hebben en waar ze vervolgens voor gebruikt mogen worden. Een goede zaak, maar wel eentje met grote consequenties die je als bedrijf niet mag onderschatten.

Expliciete toestemming vereist

Straks mag je niet meer zomaar allerlei persoonsgegevens verzamelen en verwerken. Je bent dan verplicht om per gebruiksdoel expliciet om toestemming te vragen. Je mag de data vervolgens alleen voor het omschreven doel gebruiken en dat moet je dan ook duidelijk en begrijpelijk omschrijven. Vraag je bijvoorbeeld of je een e-mailadres mag gebruiken om een maandelijkse nieuwbrief te versturen, dan heb je niet automatisch toestemming om meteen ook leuke aanbiedingen te doen. Daarnaast mag iemand zijn toestemming ook weer intrekken, of kan om inzage gevraagd worden en moet je de gegevens dan in een begrijpelijk formaat kunnen aanleveren. In specifieke situaties kan zelfs geëist worden dat je iemands gegevens volledig verwijdert, het zogenaamde recht om vergeten te worden.

Herleidbare gegevens

Belangrijk om te weten, is dat de GDPR van toepassing is op alle persoonsgegevens en dat dit begrip flink wordt verruimd. Het gaat straks om alle gegevens die mogelijk tot een individuele persoon herleid kunnen worden. Denk aan een naam, IP-adres, telefoonnummer, kenteken, maar ook aan cookies en identifiers van apparaten. Als je niet aan de verplichtingen voldoet ben je strafbaar en kun je strafrechtelijk vervolgd worden. Een boete wil je echt niet riskeren, want die kunnen oplopen tot vier procent van je jaaromzet of maximaal twintig miljoen euro. Over de reputatieschade die je oploopt zullen we het maar niet hebben.

De wetgeving is van toepassing op alle Europese burgers, ongeacht waar hun data wordt opgeslagen. Maak je bijvoorbeeld gebruik van een clouddienst die de data mogelijk ergens buiten Europa opslaat, of een datacenter op een ander continent, dan moet je nog steeds aantoonbaar aan de verplichtingen van de GDPR voldoen.

Administratie

Behalve dat expliciete toestemming nodig is, moet je er alles aan doen om de persoonsgegevens te beschermen. Ze mogen niet verloren gaan, beschadigd raken, door ongeautoriseerde mensen worden ingezien en ze moeten ook nog eens correct en actueel gehouden worden. Dat is een flinke administratieve last. Verder mag je geen gegevens verzamelen die je niet nodig hebt voor de omschreven doeleinden en mogen privacygevoelige gegevens niet op straat komen te liggen. Wat nu bijvoorbeeld al geldt in het kader van de meldplicht datalekken, blijft straks onder de GDPR ongeveer hetzelfde.

Zodra de GDPR van kracht is, moet je kunnen aantonen dat je aan de verplichtingen voldoet. Zoals dat je expliciete toestemming hebt om bepaalde persoonsgegevens vast te leggen, maar ook dat je er alles aan doet om deze gegevens optimaal te beschermen en dat je vooraf hebt uitgezocht welke acties nodig zijn mocht er onverhoopt iets misgaan. Periodieke risicoanalyses zijn daarom nodig om per datasoort te bepalen wat de risico's zijn en wat je eraan moet doen om ze te minimaliseren.

Gegevens in kaart brengen

Het is essentieel dat je bedrijfsbreed zorgvuldig in kaart brengt welke soorten data er allemaal verzameld, opgeslagen en verwerkt worden. Aan de hand van deze inventarisatie kun je vervolgens bepalen welke acties er uitgezet moeten worden om op tijd aan de verplichtingen van de GDPR te voldoen.

Voor welke gegevens moet je bijvoorbeeld nog toestemming vragen. Is elke datasoort alleen toegankelijk door geautoriseerde afdelingen en functionarissen. Zijn er persoonsgegevens die je niet nodig hebt en dus niet mag hebben. Kan data geaggregeerd en geanonimiseerd worden zodat het niet meer onder de GDPR valt. Worden gegevens niet te kort en ook niet te lang bewaard. Om welke bedrijfssystemen, apparatuur van medewerkers, datacenters en cloud diensten gaat het. Maak je gebruik van externe partijen die namens jouw bedrijf privacygevoelige gegevens verwerken.

Privacy by design en privacy by default

Ook belangrijk om te weten, is dat privacy by design verplicht wordt. Alle systemen moeten zo ontworpen worden dat al vanaf de tekentafel alles aan de bescherming van de privacy wordt gedaan. Daarnaast geldt privacy by default. Dit houdt in dat als gebruikers zelf ergens privacyinstellingen kunnen aanpassen, deze standaard al de hoogste graad van bescherming moeten bieden. Je kunt dus niet alvast een paar vakjes aanvinken om jezelf meer mogelijkheden te geven, ook niet op zoiets als een inschrijfformulier.

Lees meer over

Oudste boven ▾ Reacties

    • +2 +3
      uberbofh
      uberbofh op 10 mei 2017 om 23:38 Meld misbruik

      Privacy by design en privacy by default

      Ik heb al begrepen dat er een windows 10 onderzoek loopt. [Link]

      Wordt weer een leuke boete.

      Reactie gewijzigd op 12 mei 2017 om 12:10 |
    • 0 +1
      Jorisw
      Jorisw op 10 mei 2017 om 19:40 Meld misbruik

      De auteur diskwalificeert zich al in de eerste zin: er is geen Europese wetgeving. De EU stelt richtlijnen op die de landen om zetten in wetgeving. En die kunnen op details altijd van de richtlijn afwijken.

      "Europese" is sowieso al een compleet verkeerde term want de richtlijnen zijn alleen van toepassing op landen binnen de EU en de landen die de richtlijnen volgen zoals Zwitserland als het ze uitkomt.

      |
    • 0 +1
      www
      www op 11 mei 2017 om 12:59 Meld misbruik

      Hem. Het is een Regulation, geen Guide.....

      GDPR [Link]

      Regulation https://en.wikipedia.org/wiki/Regulation_(European_Union)

      Wordt dus in een keer in de Hele EU van kracht..... op ingangs datum.

      Daarna kunnen de regels in aanpalende wetgeving doorgevoerd worden....

      Reactie gewijzigd op 11 mei 2017 om 13:00 |

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview