Menu

Een kort overzicht van de impact van de GDPR

De GDPR zal voor veel organisaties in Nederland grote impact hebben. Om u op weg te helpen, u een overzicht te geven van wat de nieuwe wetgeving inhoudt, en van wat dit voor uw organisatie kan betekenen, publiceerde Microsoft in mei van dit jaar een whitepaper. Een korte weergave van de relevante informatie in die whitepaper vindt u hier. Motion10 helpt u, samen met onze partner Mavim, graag verder op het pad richting GDPR compliance.

Wat is de GDPR?

De “General Data Protection Regulation” is een nieuwe privacywet voor de Europese Unie, die ingaat in mei 2018. De General Data Protection Regulation (GDPR) wordt een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) zal vervangen. De GDPR biedt individuen meer controle over hun persoonlijke data, zorgt voor meer transparantie rondom het gebruik van data, en vereist beveiliging en controles om data te beschermen.

De GDPR zal door de autoriteiten bekrachtigd worden met controles op straffe van fikse boetes. Er zijn straks twee boetecategorieën. Er zijn boetes van ten hoogste 10 miljoen euro of 2 procent van de wereldwijde omzet van de verwerkingsverantwoordelijke of verwerker van data, en er zijn boetes van ten hoogste 20 miljoen euro of 4 procent van de wereldwijde omzet.

De GDPR zal impact hebben op alle organisaties en alle processen daarin. Van marketing en sales tot aan klantenservice, finance en administratie.

Is de GDPR ook van toepassing voor uw organisatie?

De GDPR is breder van toepassing dan u misschien op het eerste oog denkt. De wet zorgt voor nieuwe regels voor bedrijven, overheidsinstellingen, non-profits, en andere organisaties die producten en diensten verzorgen voor mensen in de Europese Unie (EU), of die data verzamelen of analyseren die verbonden is aan Europese burgers. De wet is van toepassing op alle organisaties die gevestigd zijn in de EU, die diensten of goederen aanbieden in de EU of die het gedrag van ingezetenen van de EU observeren of monitoren.

Anders dan privacywetten in andere rechtsgebieden is de GDPR van toepassing op organisaties van elke grootte en iedere sector. De EU wordt internationaal gezien als een rolmodel op het gebied van privacywetgeving. We kunnen dus verwachten dat de concepten in de GDPR na verloop van tijd ook elders ter wereld overgenomen zullen worden.

Op welk moment gaat de GDPR van kracht?

De GDPR zal van kracht zijn vanaf 25 mei 2018. Het zal dan de huidige Europese Data Protection Directive vervangen. Deze is al van kracht sinds 1995. De GDPR is als wet aangenomen voor de EU in april van 2016, maar gezien de grote veranderingen die veel organisaties zullen moeten maken om compliant te zijn, is een overgangsperiode van twee jaar ingeregeld. Vanaf mei 2018 moeten alle organisaties op wie Europese regels van toepassing zijn, aan de wet voldoen.

Wat zijn de basisprincipes van de GDPR?

De GDPR is opgebouwd rondom zes principes:

  • Het verplicht stellen van transparantie rondom het verzamelen, analyseren en gebruiken van persoonlijke data.
  • Het beperken van het verwerken van persoonlijke data tot specifieke, legitieme doeleinden.
  • Het beperken van het verzamelen en opslaan van persoonlijke data voor de bedoelde of benoemde doeleinden.
  • Het in staat stellen van individuen om hun eigen persoonlijke data te laten corrigeren of verwijderen.
  • Het beperken van het opslaan van persoonlijk identificeerbare data tot maximaal de tijdsduur die noodzakelijk is voor de van toepassing zijnde doeleinden.
  • Het verzekeren van de beveiliging van persoonlijke data met gepaste beveiligingsmaatregelen.

Vereisten als gevolg van de GDPR principes

Wat betekent dit in de praktijk voor organisaties? Enkele voorbeelden van hoe deze principes invloed hebben op uw omgang met data:

  • Onder de GDPR hebben individuen het recht om te weten of organisaties hun persoonlijke data verwerken en om kennis te nemen van de doeleinden van die verwerking. Een individu heeft het recht om zijn of haar data te laten corrigeren of verwijderen, om te vragen om het verwerken van die data te beëindigen, bezwaar te maken tegen direct marketing, en om reeds verstrekte toestemming voor bepaalde toepassingen van hun data in te trekken.
  • Het recht op “dataportabiliteit” geeft individuen het recht om hun data te verplaatsen naar een andere locatie en om daar hulp bij te krijgen.
  • De GDPR vereist van organisaties dat persoonlijke data wordt beveiligd op een niveau dat overeenstemt met de gevoeligheid van die data.
  • In het geval van een datalek moeten “data controllers” de autoriteiten er binnen 72 uur van op de hoogte stellen. Daarnaast moeten organisaties, in het geval het datalek een redelijk risico kan opleveren voor de rechten en vrijheid van individuen, de betrokkenen er direct van op de hoogte stellen.
  • Er moet een juridische basis zijn voor de verwerking van persoonlijke data. Elke toestemming voor het verwerken van persoonlijke data moet “vrijwillig gegeven, specifiek, geïnformeerd en ondubbelzinnig” zijn. Een simpele cookiebar op uw website, zonder verwijzing naar regels en voorwaarden volstaat bijvoorbeeld niet meer. Er bestaan onder de GDPR unieke regels in verband met het geven van toestemming, bedoeld om kinderen te beschermen.
  • Organisaties moeten zogenaamde data protection impact assessments uitvoeren om de impact van projecten op privacy te voorspellen, en om aanpassingen door te voeren waar nodig. Verslagen van dataverwerkingsactiviteiten, toestemming om data te verwerken, en GDPR compliance, moeten worden bijgehouden.
  • Een belangrijk punt: GDPR compliance is geen eenmalige activiteit, maar een continu proces. Niet compliant zijn met GDPR kan zware boetes opleveren. Om GDPR compliant te zijn en te blijven, is het aan te raden dat organisaties een cultuur van privacy omarmen, die de belangen van individuen behartigt.

Voor meer informatie over de GDPR en over termen als pseudonimisatie, verwerking, controllers, en persoonlijke data, bekijkt u Microsoft.com/GDPR.

In de whitepaper “Beginning your GDPR journey” biedt Microsoft u meer informatie en een basale handleiding. Download de whitepaper hier.

Motion10’s partnership met MAVIM en Audittrail

U heeft nog een jaar om te zorgen dat u GDPR compliant bent. Microsoft zet zich er voor in om uw data security op orde te houden, on premise of in de cloud. Als Microsoft partner willen wij u graag informeren over en begeleiden bij de veranderingen in het omgaan met persoonlijke data van uw klanten, partners, en leveranciers die de GDPR vereist.

Het proces richting GDPR Compliance betekent een verandering op vele vlakken. Bijvoorbeeld in uw document management, in bedrijfscultuur; in technische infrastructuur en in processen. Samen met onze Microsoft, Mavim en Audittrail willen we u helpen om een stappenplan uit te werken dat resulteert in een levende “GDPR scorecard” waarmee u de correcte omgang met persoonlijke data binnen uw organisatie kunt monitoren.

Meer over de GDPR of hoe wij u kunnen helpen? Neem contact op.