De nieuwe Europese General Data Protection Regulation (GDPR)

Hoe de GDPR uw gegevensbeschermingsbeleid zal beïnvloeden

DOE DE COMPLIANCE CHECK DOWNLOAD GRATIS GIDS

Bent u klaar voor de GDPR?

In mei 2018, zal de nieuwe EU-brede gegevensbeschermingsverordening in werking treden.

Als dit u aanbelangt, dient u nu te beginnen met de voorbereidingen om conform met de GDPR verordening te zijn. Deze site is bedoeld om u te helpen de GDPR beter te begrijpen, de benodigde voorzieningen te treffen en oplossingen aan te bieden. Elke organisatie in Europa die persoonsgegevens verwerkt zal te maken krijgen met de General Data Protection Regulation (GDPR). Het zal ook een impact hebben op alle bedrijven die zaken in Europa doen. De regels zijn complex en boetes voor niet-naleving kunnen hoog oplopen (tot €20 miljoen).

U bent aan het juiste adres om hier meer over te leren!

https://encryption.eset.com/be-du/wp-content/uploads/sites/21/2016/11/calendar.png

Bekijk de gratis GDPR gids

ESET en haar juridische adviseurs hebben deze gedetailleerde gids gecreëerd om te onderzoeken welke impact de nieuwe EU verordening op u heeft.

https://encryption.eset.com/be-du/wp-content/uploads/sites/21/2016/11/guide_general_data_protection_regulation.png

Online compliance check

Deze site is ontworpen om u te helpen de GDPR te begrijpen, de vereisten in kaart te brengen en oplossingen aan te bieden.

Voldoen aan de GDPR, stap voor stap

De implicaties van de GDPR zijn complex, dus hebben we de te nemen maatregelen die u dient te overwegen in 3 groepen verdeeld. In de subcategorieën vindt u gedetailleerde uitleg. U kunt klikken op de balkjes in het diagram om de gedetailleerde uitleg te bekijken.

+In het kort

Een aantal van de uiteengezette uitgangspunten in de GDPR zijn een voortzetting van degene die al in de bestaande gegevensbeschermings-richtlijn staan, namelijk: eerlijkheid, rechtmatigheid en transparantie, beperking van de doeleinden, gegevensbeperking; kwaliteit van de gegevens; veiligheid, integriteit en vertrouwelijkheid.

De GDPR introduceert een nieuw principe wat betreft verantwoording. De verwerkingsverantwoordelijke dient de naleving van de principes te kunnen aantonen. Ook voegt de GDPR nieuwe aspecten toe aan de bestaande gegevensbeschermings-richtlijn, met de volgende aandachtspunten;

eerlijkheid, rechtmatigheid en transparantie – Persoonsgegevens dienen nu op een transparante manier verwerkt te worden wat betreft de betrokkene.

Beperking van de doeleinden – mits enkele kanttekeningen kan de archivering van persoonsgegevens van publiek belang als niet compatibel worden beschouwd met de oorspronkelijke verwerkingsdoeleinden.

Opslag – Persoonsgegevens moeten in een vorm worden opgeslagen die identificatie van de betrokkenen mogelijk maakt en die niet langer dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt.

Verantwoording – De gegevensverwerker is verantwoordelijk voor de conformiteit en moet naleving van de beginselen kunnen aantonen.

+Organisatiestructuur vereisten

Met de GDPR komt de implementatie van een brede waaier van maatregelen aan te pas om er voor te zorgen dat het risico van een GDPR schending verminderd wordt en zodat u kan bewijzen dat u data beheer serieus neemt. Bij de benodigde maatregelen zijn o.a.: Privacy Impact Assessments, audits, policy reviews, activity records and (potentially) appointing a data protection officer (DPO).

Voor bepaalde organisaties introduceert de GDPR de verplichting van de aanstelling van een functionaris voor gegevensbescherming (DPO).Organisaties dienen een personeelslid of een externe consultant te benoemen als de functionaris voor gegevensbescherming.

Als u een marketeer bent met een grote consumenten-database, dient u waarschijnlijk een functionaris voor gegevensbescherming aan te stellen; van de nationale autoriteiten voor gegevensbescherming wordt verwacht dat zij helpen met het aanstellen van de juiste persoon.

Uw DPO zal verantwoordelijk zijn voor het toezicht op en de naleving van de GDPR. Hiernaast dient deze persoon u te adviseren over de verplichtingen en hoe en wanneer u een effectbeoordeling op het gebied van gegevensbescherming dient te doen. Ook is dit degene die de contactpersoon is voor vragen van de nationale autoriteiten voor gegevensbescherming en bij vragen van particulieren.

Het concept van een “one-stop shop” zorgt ervoor dat een organisatie die in meerdere EU-landen present is alleen maar te maken krijgt met één enkele nationale autoriteit voor gegevensbescherming , alhoewel de regels om vast te stellen van welke nationale autoriteit voor gegevensbescherming deze rol moet nemen, en hoe ze klachten zouden moeten behandelen, in sommige gevallen complex is.

+Processen, procedures en beleid

De GDPR herdefinieert een datalek als “een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt”.

Dit is een bredere definitie dan voorheen en neemt niet in acht of de breuk schade aan het individu berokkent. Als u een inbreuk vaststelt op de gegevensbeveiliging, dient u de nationale autoriteit voor gegevensbescherming onverwijld in kennis te stellen, of uiterlijk 72 uur na het ontdekken van de lek.

U bent echter vrijgesteld van kennisgeving aan individuen als u de passende technische en organisatorische maatregelen heeft getroffen om de persoonsgegevens te beschermen, zoals bijvoorbeeld encryptie.

Een belangrijk onderdeel van naleving van de GDPR is “privacy by design”.Dit betekent het integreren van de persoonsbescherming in elk nieuw proces of produkt met privacy-eisen vanaf het begin. Deze aanpak,was eerder een aanrader en is nu een expliciete eis.

De effectbeoordeling op het gebied van gegevensbescherming ook bekend als PIA is bedoeld om niet-naleving van de risico’s te identificeren en te minimaliseren.

De GDPR maakt de effectbeoordeling op het gebied van gegevensbescherming (PIA) een formele vereiste. in het bijzonder moet, de gegevensverwerker ervoor zorgen dat er een PIA is uitgevoerd, voordat hij begint met een “hoog risico” verwerkingsactiviteit.

Als u internationaal opereert, zullen de regels en de verwerking van gegevensoverdrachten naar niet-EU-rechtsgebieden een belangrijke overweging zijn en zullen de sancties bij niet-naleving of bij overdracht van gegevens naar rechtsgebieden die niet erkend zijn (door de Europese Commissie) met een adequate gegevensbescherming verordening, zullen veel ernstiger worden onder de GDPR.

+Bewustwording ivm gegevensbescherming

Nu is het tijd om te beginnen met het uitleggen aan eigen werknemers waarom de naleving van de GDPR zo belangrijk is. U dient misschien al te beginnen met het herzien van procedures om te kunnen omgaan met de nieuwe transparantie en individuele recht bepalingen. Dit kan aanzienlijke financiële, IT en training gevolgen hebben.

+Verantwoordelijkheid - technische maatregelen

De GDPR maakt verwerkers verantwoordelijk voor het aantonen van naleving door middel van hun toegepaste gegevensbeschermingsbeginselen. U zult ervoor moeten zorgen dat u een duidelijk beleid neerzet om aan te tonen dat u aan gevraagde normen voldoet door regelmatige toezicht, evaluatie en beoordeling van gegevensverwerking procedures. U dient waarborgen in te bouwen en ervoor te zorgen dat personeel is opgeleid om hun verplichtingen te begrijpen. Wees klaar om dit op elk moment aan te tonen, wanneer dat nodig is om dit te doen en wanneer de nationale autoriteit voor gegevensbescherming hier om vraagt.

+Datalek – technische maatregelen

U moet zich voorbereiden op inbreuken op de beveiliging van persoonsgegevens (gedefinieerd als “een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt”). De invoering van een duidelijk beleid en geteste procedures zorgen ervoor dat u tijdig kunt reageren en kennis kan geven van alle inbreuken op gegevens waar nodig.

Het uitblijven van een melding van inbreuk zal wellicht resulteren in een boete, evenals een boete voor de inbreuk zelf.

+Zorg voor de rechten van de gegevens van de betrokkenen - technische maatregelen

De GDPR versterkt de rechten van de betrokkenen bijvoorbeeld door toevoeging van het recht van aanvraag van de eigen gegevens die verwerkt zijn, toegang tot de gegevens in bepaalde omstandigheden en het corrigeren van gegevens die verkeerd zijn.

Een van de belangrijkste doelstellingen van de GDPR is om de rechten van individuen te versterken. Als gevolg hiervan zullen de regels voor het omgaan met aanvragen van toegang van betrokkenen veranderen. U zal interne procedures moeten bijwerken om te voldoen aan deze veranderingen.

In de meeste gevallen zal u niet in staat zijn de klant te laten betalen voor de naleving van een verzoek en normaal gesproken heeft u enkel een maand om hieraan te voldoen.

Het recht om te worden vergeten (‘wissen’ in de terminologie van de GDPR) stelt individuen in staat om uw verwerkingsverantwoordelijke te vragen persoonsgegevens te wissen zonder onnodige vertraging in bepaalde situaties, bijvoorbeeld wanneer er een probleem is met de rechtmatigheid van de verwerking, of waar men de toestemming voor verwerking intrekt.

Derden met wie u gegevens van individuen deelt, vallen ook onder deze regeling.

De GDPR definieert profileren als “elke vorm van geautomatiseerde verwerking van persoonsgegevens die bestaat uit het gebruik van persoonsgegevens om bepaalde persoonlijke aspecten te evalueren die betrekking hebben op een natuurlijke persoon, in het bijzonder om te analyseren of bepaalde aspecten met betrekking tot voorspellen van de prestaties van de natuurlijke persoon op het werk, de economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of beweging ”; Er is echter enige onduidelijkheid over de manier waarop de betrokkene het recht op automatische besluitvorming gebaseerd op profilering kan aanvechten.

De GDPR introduceert een nieuw recht op gegevensportabiliteit, die verder gaat dan het recht van individuen om te eisen dat u hun gegevens gebruikt in een veelgebruikte elektronische vorm en de verwerkte informatie zal verstrekken in een gestructureerde, vaak gebruikte en machine-leesbare vorm.

Er zijn een aantal beperkingen op deze regel, het wordt alleen toegepast op persoonsgegevens die worden verwerkt met geautomatiseerde middelen.

Een onderdeel van het streven van de Europese Commissie is het recht van individuen te versterken. Individuen hebben het recht om beperkingen op een bepaalde verwerking van persoonsgegevens te leggen en het recht om bezwaar te maken tegen verwerking voor directe marketingdoeleinden inclusief profileringsactiviteiten voor directe marketing.

Zodra een individu bezwaar maakt kunnen de persoonsgegevens niet langer gebruikt worden voor directe marketing en dienen de contactgegevens van het individu toegevoegd te worden aan een interne blacklist.

Organisaties dienen individuen te informeren over hun rechten om bezwaar te kunnen maken tegen de verwerking van hun gegevens.

+Communicatie persoonsgegevens (toestemmingen, correcte verwerking kennisgeving)

U dient wellicht opnieuw te kijken naar de manier van zoeken, verkrijgen en vastleggen van toestemmingen; de toestemming van de betrokkene voor de verwerking van persoonsgegevens of de annulatie hiervan moet eenvoudig kunnen worden uitgevoerd. Er dient een akkoord te zijn voor verwerking van persoonsgegevens en het kan niet alleen simpelweg worden afgeleid uit een aangevinkt vakje of inactiviteit.

Een onderdeel van het streven van de Europese Commissie is het recht van individuen te versterken. Individuen hebben het recht om restricties op bepaalde verwerking van persoonsgegevens te leggen en het recht om bezwaar te maken tegen verwerking van directe marketingdoeleinden inclusief profileringsactiviteiten voor directe marketingdoeleinden.

Zodra een individu bezwaar maakt kunnen de persoonsgegevens niet langer gebruikt worden voor directe marketing en dienen de contactgegevens van de individu toegevoegd te worden aan een interne blacklist.

Organisaties dienen individuen te informeren over hun rechten om bezwaar te kunnen maken tegen de verwerking van hun gegevens.

De GDPR zal waarschijnlijk het hele scala aan dingen die u dient te melden aan de betrokkenen vergroten, bijvoorbeeld ; op het moment dat de betrokkene een probleem ziet in de manier waarop u zijn gegevens verwerkt, dient u uw juridische grondslag voor de verwerking van hun persoonsgegevens en uw gegevensretentie te kunnen overleggen. Ook dient u te communiceren over hun recht om een klacht in te dienen bij de nationale autoriteit voor gegevensbescherming.

+Gegevensbescherming (integriteit en vertrouwelijkheid)

De GDPR heeft uitgangspunten bepaald die vergelijkbaar zijn met die van de huidige richtlijn, inclusief; eerlijkheid, rechtmatigheid en transparantie, beperking van de doeleinden, gegevensbeperking; kwaliteit van de gegevens; veiligheid, integriteit en vertrouwelijkheid.

U dient ervoor te zorgen dat persoonsgegevens op een veilige manier verwerkt zijn inclusief bescherming tegen onbevoegden of onrechtmatige verwerkers en tegen accidenteel verlies, vernietiging of schade. “De organisatie en eventuele uitbestede service provider dient passende technische en organisatorische maatregelen te implementeren, om er voor te zorgen dat er een passend beveiligingsniveau is die in verhouding staat met het te lopen risico.

De verordening stelt een aantal veiligheidsmaatregelen voor die kunnen worden gebruikt om te komen tot een goede bescherming van de gegevens, inclusief; pseudonimisatie en encryptie van persoonsgegevens; de mogelijkheid om de vertrouwelijkheid, integriteit, beschikbaarheid en de veerkracht van systemen en diensten om de verwerking van persoonsgegevens te waarborgen; het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens tijdig bij een fysiek of technisch incident te herstellen; en een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om te zorgen voor de beveiliging van persoonsgegevensverwerking.

De GDPR specificeert encryptie als een aanpak die kan helpen met de naleving van sommige verplichtingen. Citaat uit de verordening:

Artikel 32 – Beveiliging van de verwerking

“1.   Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
(a) de pseudonimisering en versleuteling van persoonsgegevens […]”

Artikel 34 – Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

“3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld: (a) de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevensbetrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling […]”

+Audit, juridische basis en documentatie van gegevens

U zult moeten documenteren welke persoonlijke gegevens u in beheer heeft, waar deze vandaan komen en en met wie u deze deelt.

Als u onjuiste persoonsgegevens heeft en deze gedeeld hebt met een andere organisatie vereist de GDPR dat u de andere organisatie inlicht over deze onjuistheid zodat ze de gegevens kunnen corrigeren. Om dit te doen kunt u een informatie- audit binnen uw organisatie doen. Dit zal u helpen compatibel te zijn met GDPR verantwoordingsbeginselen.

Met de GDPR, dient u de manier waarop u uw persoonsgegevens verwerkt te analyseren en de juridische basis te identificeren. Deze processen dient u vast te leggen.

Dit is nodig omdat de rechten van individuen kunnen gewijzigd worden door de GDPR afhangend van uw juridische grondslag voor het verwerken van persoonsgegevens. Een voorbeeld is dat men een sterker recht heeft op de verwijdering van gegevens als men voor de juridische grondslag uitgaat van toestemming van de individu. Hoe dan ook toestemming is één van het individu. Hoe dan ook is de toestemming één van de vele manieren qua legitimering van de verwerkingsactiviteiten en is het wellicht niet de beste (dit kan namelijk worden ingetrokken door het individu).

De informatie op deze website vormt geen juridisch advies. Deze informatie kan niet gebruikt worden bij het maken van financiële of zakelijke beslissingen. ESET is niet aansprakelijk voor de resultaten die uit dergelijke acties voortkomen. U dient altijd onafhankelijk juridisch advies in te winnen.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Bijna 80% van de bedrijven zijn niet klaar voor de GDPR

Een nieuw onderzoek uitgevoerd door onafhankelijke analisten IDC heeft vastgesteld dat de meeste Europese KMO’s niet voorbereid zijn op de GDPR. IDC ondervraagde IT-professionals bij meer dan 700 bedrijven. Het blijkt dat men vooralsnog niet goed op de hoogte is van de nieuwe verordening.

Voor meer details – en om meer te weten te komen over de GDPR kan u het volledige IDC-rapport downloaden, met dank aan ESET:

Kennis van de GDPR impact

25% geen kennis | 52% beperkt op de hoogte | 22% volledig op de hoogte

Deze website maakt gebruik van cookies om een vlot gebruik van de website te garanderen. Meer informatie.

OK