De nieuwe Europese wet databescherming (GDPR): 10 wijzigingen

Ondernemers en marketeers, opgelet! Per 25 mei 2018 treedt de nieuwe Europese wet databescherming, oftewel de General Data Protection Regulation (GDPR), in werking. Vanaf deze datum controleren autoriteiten per EU land actief op naleving van deze nieuwe wet. Het is slim om dus nu alvast het één en ander aan te scherpen binnen jouw organisatie met betrekking tot gegevensverwerking. Deze 10 veranderingen mogen ondernemers en marketeers niet missen.
(Leestijd: 4 minuten)

1. Bredere toepassing

Of je nu werkzaam bent bij een online marketingbureau of een ziekenhuis: de GDPR is van toepassing op alle Europese organisaties die persoonsgegevens verwerken of laten verwerken. Ook organisaties die niet in Europa zijn gevestigd maar wel de persoonsgegevens (laten) verwerken van de inwoners van de EU, moeten de wet nastreven.

2. Toestemmingseisen

Daarnaast worden de toestemmingseisen aangescherpt. Voordat gegevens verwerkt mogen worden, moet de betrokkene op basis van volledige informatie akkoord geven. Daarnaast moet je als organisatie kunnen bewijzen dat de betrokkene toestemming heeft gegeven. Houd er ook rekening mee dat het voor de betrokkene altijd mogelijk is om de toestemming weer in te trekken. Het is daarom slim om de datastromen binnen jouw organisatie in kaart te brengen.

3. Verwerking van persoonsgegevens

Per 25 mei 2018 introduceert de GDPR beginselen met betrekking tot de verwerking van persoonsgegevens. Dit houdt in dat persoonsgegevens op een correcte en tevens actuele en transparante manier worden verwerkt. Daarnaast mogen alleen de gegevens worden verwerkt die noodzakelijk zijn voor een doel. Vind je dat identificatie niet meer noodzakelijk is? Dan is het verplicht dat de persoonsgegevens worden verwijderd of geanonimiseerd. Vergeet tot slot nooit om de gegevens goed te beveiligen.

4. De rechten

Ten allen tijde is het van belang dat de betrokkene moet worden geïnformeerd over wat er zijn of haar gegevens gebeurt. De betrokkene moet altijd toegang hebben om de gegevens in te zien. Ook moeten organisaties kunnen aantonen waar de gegevens zijn opgeslagen en dit moet goed beveiligd zijn. Tevens staat in de nieuwe GDPR het recht om vergeten te worden. Dit houdt in dat alle organisaties die persoonsgegevens verwerken, deze op verzoek van de betrokkene moeten verwijderen.

5. Profilering

Het is als marketeer altijd belangrijk om transparant te blijven over profilering. In de nieuwe GDPR wet hebben betrokkenen het recht hiervan af te zien, als er bijvoorbeeld rechtsgevolgen aan zijn verbonden o.i.d.

6. Bewerkersovereenkomsten

De overeenkomsten met hosting- en cloudproviders die persoonsgegevens verwerken moeten worden gecontroleerd. Zo moet er onder andere worden genoemd wat het doel is van de verwerking, wat voor een soort persoonsgegevens verwerkt worden, welke beveiligingsmaatregelen worden genomen en wat de categorieën zijn van de betrokkenen. Daarnaast moet de bewerker meewerken aan het controleren van de gegeven en moet het afloop mogelijk zijn om de persoonsgegevens te vernietigen of te retourneren.

7. Privacy risico’s

Breng in kaart wat het privacy risico is voor de betrokkenen van wie persoonsgegevens worden verwerkt. Dit is met name verplicht wanneer er bij de verwerking van de gegevens nieuwe technologieën worden gebruikt en de omvang, context en doeleinden van de verwerking een groot risico is. Deze regel betreft Privacy Impact Assessment (PIA).

8. Melden van een datalek?

In de nieuwe Europese wet databescherming is het verplicht dat de bewerker een datalek meldt aan de opdrachtgever. Dit hoef je pas te melden bij de toezichthouder als het lek daadwerkelijk heeft plaatsgevonden. Tip: stel een protocol datalekken op wat past bij jouw organisatie.

9. De administratie

Het is verplicht om aan te kunnen tonen dat je als organisatie de nieuwe GDPR wet nastreeft. Afspraken moeten worden nagekomen. We raden je aan om een documentatiesysteem op te zetten, zodat jouw organisatie kan aantonen dat er aan de verplichtingen wordt voldaan.

10. Twintig miljoen euro boete?!

Door de nieuwe GDPR wet wordt het voor de Autoriteit Persoonsgegevens mogelijk om hogere boetes op te leggen. De hoogste boete bedraagt 20 miljoen euro of vier procent van de wereldwijde omzet. Dit wil geen enkele organisatie. Streef daarom alle nieuwe regels na en zorg ervoor dat iedereen zich aan de regels houdt binnen de organisatie waar je werkzaam bent.

Aan de slag

We raden je aan om nu al bezig te gaan met de nieuwe Europese wet databescherming. Breng je datastructuren in kaart, vraag waar nodig toestemming aan de betrokkene en houd de administratie bij. Zo bereid je jouw organisatie goed voor op 25 mei 2018. Mocht je nog vragen hebben, neem dan gerust contact met ons op en we helpen je graag verder!

Plaats een reactie

*