De Algemene Verordening Gegevensbescherming (of: GDPR, gebaseerd op de Engelse naam General Data Protection Regulation) is een verordening waarmee de Europese Commissie de veiligheid van data wil bevorderen. Het gaat hierbij vooral om het beschermen van persoonlijke informatie van Europese inwoners, maar ook om het reguleren van de export van persoonlijke data buiten de Europese Unie. De Europese Commissie wil hiermee de controle over persoonlijke data teruggeven aan het individu.
Met 'persoonlijke data' wordt alle informatie bedoeld die betrekking heeft op een individu. Dat kan alles zijn, zoals een naam, foto, emailadres, socialmediabericht, medische informatie of een IP-adres.
De wetgeving is van toepassing indien:
De wetgeving is niet van toepassing indien de data door bevoegde instanties wordt verwerkt met als doel de nationale veiligheid te bevorderen.
De Algemene Verordening Gegevensbescherming is aangenomen in april 2016. Zij trad in werking op 24 mei 2016 en zal integraal van toepassing zijn vanaf 25 mei 2018. Dit geeft Europese overheden en bedrijven twee jaar de tijd om zich voor te bereiden op de veranderende regelgeving.
Het overtreden van de Algemene Verordening Gegevensbescherming kan verschillende sancties opleveren. In het geval van een eenmalige onbedoelde overtreding wordt een schriftelijke waarschuwing verstuurd. Ook kunnen periodieke audits op het gebied van databeveiliging worden uitgevoerd. Bij ernstige of meermalige overtredingen kan een boete van maximaal 20 miljoen euro of 4% van de jaarlijkse omzet worden opgelegd.
Kennismaken met GDPR specialist »
Een van de belangrijkste gevolgen is dat in elk EU-land dezelfde regelgeving geldt met betrekking tot het verwerken van persoonlijke informatie. Elke lidstaat moet beschikken over een eigen onafhankelijke toezichthoudende autoriteit. Deze autoriteiten zullen internationaal met elkaar samenwerken.
De Algemene Verordening Gegevensbescherming zorgt ervoor dat individuen meer rechten krijgen als het gaat om hun data.
Hoewel het concept van privacy by design al langer bestaat, geeft de Algemene Verordening Gegevensbescherming regelgeving voor het uitvoeren hiervan. Organisaties moeten processen, procedures en systemen zo inrichten dat privacy standaard gewaarborgd is. Ook moeten processen zo worden ingericht dat alleen relevante informatie wordt verzameld en dat persoonlijke data eenvoudig kan worden verwijderd.
De GDPR bevat een meldplicht voor datalekken. Eventuele datalekken moeten binnen 72 uur gemeld worden aan de toezichthoudende autoriteit en eventueel aan de individuen waar het datalek betrekking op heeft.
Publieke organisaties waarbij het verwerken van persoonlijke informatie tot een kernactiviteit gerekend mag worden, moeten een functionaris voor gegevensbescherming aanstellen. Dit kan een werknemer van de organisatie zijn maar ook een externe gespecialiseerde dienstverlener zoals bijvoorbeeld een advocaat. Een eerste conceptversie van de verordening stelde dat deze verplichting alleen zou gelden voor bedrijven met meer dan 250 werknemers, maar de uiteindelijke verordening bevat geen ondergrens. Deze verplichting kan dus voor elke organisatie gelden, ongeacht de grootte.
De Algemene Verordening Gegevensbescherming heeft veel regelgeving waarvan de gevolgen voor iedere onderneming verschillend zijn. Het is van groot belang dat uw organisatie voldoet aan de nieuwe regelgeving voordat de verordening van kracht wordt in mei 2018.
Wilt u meer informatie over wat de regelgeving voor uw (internationale) onderneming betekent en welke gevolgen de verordening heeft? Neem dan contact op met een advocaat van internationaal advocatenkantoor time.lex.