Blijf wekelijks op de hoogte van het steeds veranderende security landschap

De nieuwe privacywetgeving GDPR, is dit wel voor mij?

-

Wellicht heb je het in de media al voorbij zien komen. Een nieuwe privacywetgeving die volgend jaar in werking treedt en waar zware boetes uit kunnen volgen voor organisaties die nalatig zijn in het beschermen van persoonsgegevens. Dit klinkt heftig, maar is dat het ook? Het antwoord op deze vraag, en waar je rekening mee dient te houden als het gaat om de persoonsgegevens van jouw klanten en relaties, maak ik duidelijk in dit blog.

Het beschermen van privacy, waarom is dit nu belangrijk?

De introductie van de General Data Protection Regulation (GDPR), in Nederland ook bekend als Algemene Verordening Gegevensbescherming (AVG), is de grootste wijziging op het gebied van gegevensbescherming sinds ruim 20 jaar. De privacywetgeving die in april 2016 is aangenomen, wordt vanaf 25 mei 2018 gehandhaafd. In Nederland is die rol weggelegd voor de Autoriteit Persoonsgegevens.

Het doel van de GDPR is om persoonsgegevens van Europese burgers via regelgeving beter te beschermen. Voor de privacy van individuen betekent de GDPR goed nieuws. Voor bijna alle organisaties ook, echter betekent dit ook complexe nieuwe uitdagingen. Niet voldoen aan de privacywetgeving kan namelijk leiden tot boetes van maximaal 20 miljoen Euro of 4% van de totale wereldwijde omzet. Daarnaast wordt elke boete publiek gemaakt, wat een negatief effect kan hebben op het imago van het betreffende bedrijf.

Bedrijven en de GDPR

Wat is de GDPR precies?

Het is een nieuwe set van privacyregels die de bescherming van persoonsgegevens helpt te verbeteren. De regels zijn door de Europese Commissie vastgelegd en gelden voor alle EU lidstaten.

De GDPR zal grote veranderingen aanbrengen in alle in Europa aanwezige wetten op het gebied van privacy en zullen de verouderde gegevensbeschermingsrichtlijnen die gelden sinds 1995 vervangen.

Hoe beïnvloedt de GDPR privacywetgeving mij als individu?

De regels zijn geschreven met als doel om de controle over de eigen data terug te geven aan de rechtmatige eigenaar.

Er bestaat echter een grijs gebied over hoe dit in de werkelijkheid toegepast kan worden. In theorie stelt de wet namelijk dat je bij sociale netwerken zoals Facebook zou kunnen eisen dat ze je profiel volledig verwijderen. Hoe weet je zeker dat dit echt gebeurt?

Het gemakkelijker kunnen verplaatsen van persoonlijke data van de ene dienst naar de andere is echter een positieve ontwikkeling. Is het voor jou en mij nodig dat verzekeraars, nutsbedrijven of telecomproviders waar we geen zaken meer mee doen onze gegevens bewaren?

Hoe zal de GDPR impact hebben op organisaties?

Dat onze persoonsgegevens goed beschermd worden, is evident. Echter staat het voldoen aan de GDPR voor veel organisaties nog gelijk aan flinke uitdagingen en het vermijden van potentieel hoge boetes bij nalatigheid.

De groei in het aantal datalekken die in de afgelopen jaren heeft plaatsgevonden is zeker van invloed op de privacywetgeving zoals die is aangenomen. Het teruggeven van controle over eigen data zal niet eenvoudig zijn. Zeker kunnen stellen dat persoonsgegevens tijdens opslag en verwerking goed beschermd blijven en hier ook inzicht in kunnen geven, kan voor veel organisaties een technisch mijnenveld betekenen. Voor een eerste overzicht van de eerste to do’s raad ik aan deze stap te zetten.

Wat zijn de financiële consequenties?

In Nederland is sinds 1 januari 2016 de Meldplicht Datalekken actief. Hierin is opgenomen dat de Autoriteit Persoonsgegevens boetes kan uitdelen aan organisaties die nalatig zijn geweest in het beschermen van persoonsgegevens. De GDPR doet hier nog een schepje bovenop door de boetes flink op te hogen naar maximaal 20 miljoen Euro of 4% van de totale wereldwijde jaaromzet.

En bedrijven die niet in de EU gevestigd zijn, vallen die ook onder deze wetgeving?

Zolang er persoonsgegevens van Europese burgers in het spel zijn kunnen ook boetes worden uitgedeeld aan bedrijven die buiten de EU gevestigd zijn. Je ziet dan ook een sterke ontwikkeling aan content over de GDPR door bijvoorbeeld Amerikaanse bedrijven die veel zaken doen in Europa. Een goede ontwikkeling.

Welke eerste stappen kan een organisatie ondernemen?

Weten al je klanten wat er met hun gegevens gebeurt? Bestaan er goede afspraken tussen jou en de partij die namens jouw organisatie persoonsgegevens verwerkt? Kan elke klant zijn persoonsgegevens inzien en op verzoek laten verwijderen? Dit zijn vragen waar je als organisatie met een ‘Ja’ op moet kunnen antwoorden. De Compliance Checker geeft een overzicht van de stappen die je moet ondernemen in de voorbereiding op de GDPR.

Stappen naar de GDPR

Hoe nu verder?

Het ontwikkelen van een privacywetgeving die voor heel Europa geldt, ging niet over één nacht ijs. Je organisatie klaarstomen voor de nieuwe regels die uit deze wet vloeien ook niet.

Er is online genoeg te vinden over de GDPR. Als wat je leest en ziet meer vragen oproept dan dat het onduidelijkheden wegneemt, neem vooral contact met me op via wessel@eset.nl. Ik help je graag verder.

Ga aan de slag met de Compliance Checker en start je GDPR voorbereiding.