Bescherming persoonsgegevens in Europa door GDPR
De Europese Commissie en het Europees Parlement hebben besloten dat de huidige wetgeving niet langer aansluit op de constante veranderingen in de digitale wereld. Om een Europese regelgeving te creëren voor de bescherming van persoonsgegevens is een nieuwe Europese privacyverordening aangenomen: de Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR). De GDPR is op 25 mei 2016 in werking getreden en zal naar verwachting op 25 mei 2018 van kracht worden.
Maar wat betekent dat voor uw bedrijf?
Voorheen werd de privacy van persoonsgegevens van individuen beschermt binnen de Europese Unie (EU) gebaseerd op Richtlijn 95/46/EG. Het is de richtlijn rondom de bescherming van persoonsgegevens voor elk land binnen Europa. De landen baseren daarop hun eigen, lokale wetgeving op deze richtlijn.
Alle organisaties worden geacht om vanaf 25 mei 2016 hun bedrijfsvoering met de GDPR in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd. Er staan een aantal interessante veranderingen in de GDPR:
De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. De boete die de nationale toezichthouder voor verwerkingsverantwoordelijken geeft, kan oplopen tot € 20 miljoen of 4% van de algemene jaaromzet.
De GDPR geldt ook voor organisaties die niet in de EU gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU monitoren.
Een deel van de administratieve lasten voor organisaties wordt verminderd. De verplichting om verwerkingen van persoonsgegevens te melden bij de lokale toezichthouders is verdwenen. Organisaties moeten zelf een overzicht bijhouden van al hun verwerkingen van persoonsgegevens.
De GDPR is een verordening, en niet slechts een EU-richtlijn. Hierdoor is deze, in tegenstelling tot richtlijn 95/46/EG, rechtstreeks geldig.
Dit is gunstig voor organisaties die in meerdere landen opereren. De regelgeving is dus overal gelijk. Lokale overheden krijgen wel de kans om wetgeving aan te passen aan eigen behoeftes omtrent de bescherming van persoonsgegevens. Een voorbeeld hiervan is de Autoriteit Persoonsgegevens, maar het zou heel goed kunnen dat andere instanties hier ook bij betrokken gaan raken.
Principes van GDPR
· transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
· doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
· gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
· juistheid: de persoonsgegevens moeten correct zijn en blijven
· bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
· integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
· verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen