In 2016 is de Algemene Verordening Gegevensbescherming (GDPR) aangenomen. In mei 2018 is de verordening integraal van toepassing. Voor ondernemingen die zakendoen in Europa is het van cruciaal belang om de bedrijfsvoering af te stemmen op de nieuwe verordening.
Wij komen echter regelmatig misverstanden tegen rondom de GDPR. We zetten de acht belangrijkste op een rij.
Alhoewel er enkele concessies worden gedaan richting kleine ondernemers en kmo’s is de GDPR van toepassing op alle organisaties die persoonlijke data verwerken. De impact van de GDPR op jouw onderneming hangt af van de wijze waarop data worden verwerkt, en niet van het aantal datarecords of de grootte van de organisatie.
De verordening noemt als voorwaarde dat “het verwerken van data of monitoren van individuen” onderdeel is van de kernactiviteiten van de onderneming. De aanduiding “kernactiviteiten” wordt echter niet nader gespecificeerd.
Ga er daarom vanuit dat de verordening geldt voor iedere onderneming die met een commercieel belang identificeerbare persoonlijke gegevens verwerkt.
Kennismaken met GDPR specialist »
Het feit dat de GDPR op een onderneming van toepassing is, wil nog niet zeggen dat deze onderneming een Data Protection Officer (of: functionaris voor gegevensbescherming) moet aanstellen. Dit is alleen het geval bij publieke instellingen die data verwerken, ondernemingen die persoonlijke data systematisch op grote schaal verwerken, en organisaties die data verwerken met betrekking tot specifieke datacategorieën (zoals gezondheidsdata).
Maar ook al valt jouw onderneming niet in een van deze categorieën, dan kan het alsnog verstandig zijn om een DPO aan te stellen. Dit kan ook een externe DPO zijn zoals een advocaat. Dit zorgt voor extra toezicht en meer zekerheid bij eventuele geschillen. Lees hier meer over het aanstellen voor een functionaris voor gegevensbescherming.
De GDPR schrijft voor dat een Data Protection Officer aantoonbaar expert knowledge heeft van privacy en databeveiliging. Daarnaast moet de aangestelde DPO voldoende op de hoogte zijn van de bedrijfsspecifieke dataprocessen. Het simpelweg aanstellen van een van de medewerkers als DPO is dus niet voldoende.
Het is een misverstand dat slechts het versleutelen van data al voldoende is voor de GDPR. Data encryption moet eerder gezien worden als de minimale standaard waarbij extra maatregelen bijna onmisbaar zijn. Ondernemingen moeten extra mogelijkheden bieden om persoonlijke data te beschermen, zoals het gebruiken van tweestapsverificatie en het permanent verwijderen van data die niet meer worden gebruikt.
De GDPR is niet alleen van toepassing op bedrijven die data opslaan, maar ook op de ondernemingen die deze data verwerken. Dat betekent dat de GDPR ook van toepassing is als een onderneming gebruikmaakt van externe providers voor gegevensopslag bij het verwerken van data.
De GDPR vervangt de databeschermingsrichtlijn, die in België is omgezet in de Privacywet. De GDPR en de Privacywet zijn echter in vele opzichten verschillend. Er zijn bijvoorbeeld verschillen in de mate waarop de gebruiker toestemming moet verlenen voor het verwerken van zijn of haar data, en de manier waarop de gebruiker geïnformeerd moet worden bij eventuele datalekken.
Wel is het zo dat het voldoen aan de Privacywet zorgt voor een eenvoudigere overgang naar het voldoen aan de GDPR.
Alhoewel er veel overeenkomsten zijn tussen de regelgeving van het Privacy Shield en de regelgeving van de GDPR, is het niet zo dat deze twee systemen geheel gelijk zijn. Het Privacy Shield heeft slechts betrekking op een van de vele onderwerpen van de GDPR, namelijk internationale datatransfers. Het Privacy Shield zegt bijvoorbeeld niets over gebruikerstoestemmingen, data protection officers en meer.
De GDPR is in de markt gezet als een universele verordening die de regelgeving in Europa vereenvoudigt en unificeert. In de praktijk is dit echter niet het geval.
Voor multinationals is de GDPR slechts een verordening naast een aantal bestaande verordeningen. Zo zijn er bijvoorbeeld verschillende wettelijke regels over de notificatieplicht in geval van een datalek of data breach. Daarnaast moeten ondernemingen voldoen aan nationale privacyregels die per land verschillen. Het wordt nog gecompliceerder als de GDPR tegenstrijdig blijkt te zijn met dergelijke nationale richtlijnen of branchegerelateerde richtlijnen.
Ondernemers, bedrijven en multinationals hebben tot mei 2018 de tijd om de bedrijfsvoering af te stemmen op de GDPR. Juridisch advies van een privacy expert is hierbij onmisbaar.
Internationaal advocatenkantoor time.lex heeft ruime ervaring met Europese privacyrichtlijnen en heeft al meerdere grote ondernemingen begeleid bij de overgang naar GDPR-compliance.
Ook gebruikmaken van onze kennis en ervaring? Neem dan contact met ons op voor een vrijblijvende kennismaking.