Betere bescherming van persoonsgebonden informatie dankzij GDPR, wat is de impact voor jezelf en voor bedrijven?

10/11/2016

Wie of wat is GDPR?

We gaan eerst even terug in de geschiedenis van de privacyregelgeving. De privacyrichtlijn (EU Data Protection Directive 95/46/EC) van 1995 werd door alle lidstaten omgezet in nationaal recht met eigen interpretaties en regels. Deze meer dan 20 jaar oude richtlijn had nood aan modernisering gezien het hoge tempo van de technologische veranderingen.

In April 2016 werd daarom de General Data Protection Regulation (GDPR) goedgekeurd door het Europese Parlement.
GDPR is van toepassing vanaf 25 mei 2018. De komende twee jaar zullen dan ook fungeren als een overgangsperiode zodat bedrijven de tijd hebben om aan alle verplichtingen te voldoen.

Doel van GDPR?

  • Betere bescherming en controle van persoonsgegevens van EU burgers
  • Vereenvoudiging van regelgeving binnen Europa door één legaal kader bij alle lidstaten

Voor wie/wat van toepassing?

Iedere organisatie (van welke grootte of waar ter wereld ook) die met gegevens van EU-burgers werkt, moet voldoen aan de regelgeving van GDPR.

Elke vorm van informatie die naar een natuurlijke persoon kan leiden, valt onder de noemer van persoonsgegevens en ressorteert bijgevolg onder deze wetgeving.

Bedrijven zullen inspanningen moeten leveren om deze persoonlijke informatie voldoende te beschermen. Dit is ook van toepassing tijdens de verwerkingsactiviteiten van deze data.

Enkele belangrijke maatregelen:

  • Er zal een striktere toestemming noodzakelijk zijn voor de verwerking van de persoonsgegevens: Geen opslag mogelijk zonder toestemming.
  • Garanderen van Privacy (Privacy by design/by default): Privacy moet steeds in acht genomen worden bij informatieverwerking en nieuwe data.
  • Een impactanalyse van persoonlijke gegevens dient uitgevoerd te worden (DPIA of Data Protection Impact Assessment): een risicobepaling van vertrouwelijkheid uitvoeren en reageren op basis van bedreiging.
  • Meldplicht bij een inbreuk met persoonsgegevens: datalekken dienen gemeld te worden aan een Europese instantie (Data Protection Authority).
  • Bijkomende rechten voor burgers: recht op inzage, recht om vergeten te worden, enz.
  • Een data protection officer zal in vele bedrijven verplicht moeten aangesteld worden bij bepaalde voorwaarden.
  • Strenge sancties bij het niet-naleven van de GDPR: een boete tot 20 000 000€ of tot 4% van de jaaromzet.

Impact van GDPR:

  • Als burger krijg je door GDPR meer controle over het gebruik van jouw persoonlijke gegevens. Wil je hier meer over lezen, volg dan zeker onze blog volgende week met uitgebreidere informatie over deze beschermingsmaatregelen.
  • Bedrijven zullen aan heel wat vereisten moeten voldoen om klaar te zijn voor GDPR. Meer informatie en adviezen om organisaties hierop voor te bereiden zullen we tijdens één van onze volgende blogs verder uitlichten.

Wil je nu reeds meer weten of starten met de voorbereidingen: contacteer ons voor GDPR workshops, GDPR audits, of roadmaps.

De juridische tekst over GDPR is hier terug te vinden: http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf