Wat is de Algemene Verordening Gegevensbescherming (GDPR)?

Geschreven door Edwin Jacobs op , in de categorie Privacy & data protection

Europese UnieDe Algemene Verordening Gegevensbescherming (of: GDPR, gebaseerd op de Engelse naam General Data Protection Regulation) is een verordening waarmee de Europese Commissie de veiligheid van data wil bevorderen. Het gaat hierbij vooral om het beschermen van persoonlijke informatie van Europese inwoners, maar ook om het reguleren van de export van persoonlijke data buiten de Europese Unie. De Europese Commissie wil hiermee de controle over persoonlijke data teruggeven aan het individu.

Omvang van de verordening

Met 'persoonlijke data' wordt alle informatie bedoeld die betrekking heeft op een individu. Dat kan alles zijn, zoals een naam, foto, emailadres, socialmediabericht, medische informatie of een IP-adres.

De wetgeving is van toepassing indien:

  • de datacontroller (de organisatie die de data verwerkt) zijn thuisbasis in de EU heeft, of
  • de persoon waar de data betrekking op heeft een EU-inwoner is.

De wetgeving is niet van toepassing indien de data door bevoegde instanties wordt verwerkt met als doel de nationale veiligheid te bevorderen.

Tijdsbestek

De Algemene Verordening Gegevensbescherming is aangenomen in april 2016. Zij trad in werking op 24 mei 2016 en zal integraal van toepassing zijn vanaf 25 mei 2018. Dit geeft Europese overheden en bedrijven twee jaar de tijd om zich voor te bereiden op de veranderende regelgeving.

Sancties

Het overtreden van de Algemene Verordening Gegevensbescherming kan verschillende sancties opleveren. In het geval van een eenmalige onbedoelde overtreding wordt een schriftelijke waarschuwing verstuurd. Ook kunnen periodieke audits op het gebied van databeveiliging worden uitgevoerd. Bij ernstige of meermalige overtredingen kan een boete van maximaal 20 miljoen euro of 4% van de jaarlijkse omzet worden opgelegd.

Kennismaken met GDPR specialist »

Gevolgen Algemene Verordening Gegevensbescherming

Een van de belangrijkste gevolgen is dat in elk EU-land dezelfde regelgeving geldt met betrekking tot het verwerken van persoonlijke informatie. Elke lidstaat moet beschikken over een eigen onafhankelijke toezichthoudende autoriteit. Deze autoriteiten zullen internationaal met elkaar samenwerken.

Rechten van de betrokkene

De Algemene Verordening Gegevensbescherming zorgt ervoor dat individuen meer rechten krijgen als het gaat om hun data.

  • De betrokkene moet duidelijke toestemming geven om persoonsgegevens te verwerken,
  • De betrokkene moet eenvoudig toegang hebben tot zijn persoonsgegevens,
  • De betrokkene moet het recht hebben om 'vergeten' te worden (bijvoorbeeld door het verwijderen van bepaalde zoekresultaten),
  • De betrokkene moet het recht hebben om bezwaar te maken,
  • De betrokkene moet gegevens mee kunnen nemen tussen verschillende dienstverleners.

Privacy by design

Hoewel het concept van privacy by design al langer bestaat, geeft de Algemene Verordening Gegevensbescherming regelgeving voor het uitvoeren hiervan. Organisaties moeten processen, procedures en systemen zo inrichten dat privacy standaard gewaarborgd is. Ook moeten processen zo worden ingericht dat alleen relevante informatie wordt verzameld en dat persoonlijke data eenvoudig kan worden verwijderd.

Meldplicht datalekken

De GDPR bevat een meldplicht voor datalekken. Eventuele datalekken moeten binnen 72 uur gemeld worden aan de toezichthoudende autoriteit en eventueel aan de individuen waar het datalek betrekking op heeft.

Functionaris voor gegevensbescherming

Publieke organisaties waarbij het verwerken van persoonlijke informatie tot een kernactiviteit gerekend mag worden, moeten een functionaris voor gegevensbescherming aanstellen. Dit kan een werknemer van de organisatie zijn maar ook een externe gespecialiseerde dienstverlener zoals bijvoorbeeld een advocaat. Een eerste conceptversie van de verordening stelde dat deze verplichting alleen zou gelden voor bedrijven met meer dan 250 werknemers, maar de uiteindelijke verordening bevat geen ondergrens. Deze verplichting kan dus voor elke organisatie gelden, ongeacht de grootte.

Advies over Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming heeft veel regelgeving waarvan de gevolgen voor iedere onderneming verschillend zijn. Het is van groot belang dat uw organisatie voldoet aan de nieuwe regelgeving voordat de verordening van kracht wordt in mei 2018.

Wilt u meer informatie over wat de regelgeving voor uw (internationale) onderneming betekent en welke gevolgen de verordening heeft? Neem dan contact op met een advocaat van internationaal advocatenkantoor time.lex.

Neem vrijblijvend contact met ons op »