General Data Protection Regulation (GDPR)

Hoe de GDPR uw gegevensbeschermingsbeleid beïnvloedt

Download gratis stappenplan Voer de GDPR Compliance Check uit

Voldoet uw organisatie aan de GDPR?

De GDPR heeft effect op alle organisaties die in de EU opereren en persoonlijke data verwerken. De regels zijn complex en de boetes bij nalatigheid significant (tot 4% van de jaarlijkse omzet of 20 miljoen euro).

Voorbereiden op de GDPR

Begin op tijd met de voorbereiding op de GDPR. Deze website helpt u de GDPR beter te begrijpen en toont aan hoe u zich kunt voorbereiden. Daarnaast biedt ESET beveiligingsoplossingen die bijdragen aan het beschermen van gevoelige data.

https://encryption.eset.com/nl/wp-content/uploads/sites/13/2016/11/calendar.png

GDPR vereisten, een stappenplan

De gevolgen van de GDPR zijn complex. Om die reden hebben we de te nemen maatregelen in drie verschillende groepen uitgesplitst. Elke groep bestaat weer uit gebieden waar een onderneming antwoord op moet hebben om zich te kunnen meten aan de maatregelen die voortvloeien uit de GDPR. Door op de groene balken te klikken vind u meer details.

+Samenvatting

Een aantal van de in de GDPR uiteengezette beginselen zijn een voortzetting van in de bestaande richtlijnen aanwezige principes, namelijk: eerlijkheid, rechtmatigheid en transparantie; beperking van het doel; gegevensminimalisering; data kwaliteit; veiligheid, integriteit en vertrouwelijkheid.

De GDPR introduceert een nieuwe verantwoordingsplicht door van dataverwerkende partijen te verlangen dat ze ten alle tijden kunnen aantonen dat ze voldoen aan de privacy principes. Daarnaast voegt de GDPR de volgende nieuwe aspecten toe aan de bestaande principes:

Rechtmatigheid, eerlijkheid en transparantie – in relatie tot de betrokkenen dienen persoonsgegevens op een transparante manier te worden verwerkt

Limitering van het verwerken van gegevens – Voor elke verwerking moet worden nagegaan of met minder gegevens of op een andere wijze het doel ook gerealiseerd kan worden

Opslag – persoonlijke gegevens moeten in die vorm worden opgeslagen wat identificatie van de betrokkenen mogelijk maakt en niet langer dan noodzakelijk voor de doeleinden waarvoor de persoonsgegevens worden verwerkt

Verantwoording – De verantwoordelijke moet kunnen aantonen dat hij de beginselen naleeft zoals de verordening dit aangeeft

+Organisatorische maatregelen

De GDPR vraagt organisaties die persoonsgegevens verwerken om maatregelen te nemen die het risico op een datalek aanzienlijk verminderen. Daarnaast dient u aan te kunnen tonen welke maatregelen u getroffen heeft. Onder de maatregelen wordt verstaan: Privacy Impact Assessments, audits, nalopen beleidsregels, het loggen van activiteiten en het aanstellen van een Functionaris Gegevensbescherming (FG).

De GDPR verplicht bepaalde organisaties om een Functionaris Gegevensbescherming aan te stellen.

Dit kan een bestaande medewerker zijn of een externe consultant die de verantwoordelijkheid draagt.

Beheert uw organisatie bijvoorbeeld een groot klantenbestand, dan zult u een Functionaris Gegevensbescherming moeten aanwijzen. De GDPR verwacht van de nationale autoriteit, in Nederland de Autoriteit Persoonsgegevens (AP), dat deze hulp biedt bij het bepalen van de functievereisten.

De aangewezen FG is verantwoordelijk voor het toetsen aan de GDPR hoe de organisatie met data omgaat, het uitbrengen van advies over de te nemen maatregelen en wanneer en hoe een Privacy Impact Assessment dient te worden uitgevoerd. Daarnaast is de FG namens de organisatie het eerste contactpersoon naar de Autoriteit Persoonsgegevens.

Het concept van een one-stop shop zorgt ervoor dat een organisatie met meerdere vestigingen in de EU maar met één Autoriteit Persoonsgegevens te maken heeft.

+Processes, procedures and policies

De GDPR definieert een datalek als “een inbreuk op de beveiliging die resulteert in een onopzettelijke of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt”.

Dit is een uitgebreidere definitie dan voorheen en maakt geen onderscheidt of een datalek schade berokkent op het individu of niet. Elke organisatie is verplicht om de Autoriteit Persoonsgegevens op de hoogte te stellen van het datalek binnen 72 uur na ontdekking.

Organisaties zijn wel vrijgesteld van het melden van het lek bij betrokkenen, mits er voldoende technische en organisatorische maatregelen zijn genomen ter bescherming van de persoonsgegevens, zoals encryptie/versleuteling.

Voldoen aan de GDPR betekent het implementeren van privacy by design bij de ontwikkeling van nieuwe processen en producten waarbij het verzamelen of verwerken van persoonsgegevens een rol speelt. Waar dit voorheen een best practice was, is privacy by design nu een vereiste.

Een Privacy Impact Assessment heeft als doel om de technische en organisatorische maatregelen die een organisatie heeft genomen te toetsen aan de GDPR gestelde eisen.

Volgens de GDPR is een PIA een formeel vereiste; de verantwoordelijke moet er zeker van zijn dat een PIA is uitgevoerd, voordat deze een proces of activiteit start met een hoog privacy risico.

Internationaal opererende organisaties dienen het beleid en de processen voor het uitwisselen van data met non-EU landen waar nodig aan te scherpen. De regels voor het verwerken of uitwisselen van data door organisaties naar rechtsgebieden die niet door de Europese Commissie worden erkend zijn flink aangescherpt.

+Awareness van databescherming

Er is nu nog voldoende tijd, maar begin snel met het creëren van awareness bij de gehele organisatie over de GDPR en de verscherpte richtlijnen. Het  transparant verwerken van persoonsgegevens en de aangepaste rechten van het individu vragen wellicht aanpassingen die een significante impact kunnen hebben op de financiële en IT processen. Het trainen van personeel kan een bijdrage leveren aan de awareness.

+Verantwoordelijkheid - technische maatregelen

De GDPR verplicht de verantwoordelijke voor het kunnen aantonen dat de organisatie voldoet aan de databeveiligingsprincipes. Het is voor een organisatie van belang dat zij een duidelijk beleid voert waarmee aan de vereiste standaarden wordt voldaan. De vereisten bestaan onder andere uit het monitoren, reviewen en testen van dataverwerkingsprocedures, het borgen van processen en ervoor zorgdragen dat de medewerkers zijn getraind op het zorgvuldig omgaan met persoonsgegevens. Een organisatie moet ten alle tijden in staat zijn om de getroffen maatregelen te overleggen wanneer de Autoriteit Persoonsgegevens dit verzoekt.

+Datalek - technische maatregelen

Binnen 72 uur na het ontdekken van een datalek moet dit gemeld zijn bij de Autoriteit Persoonsgegevens. Goede voorbereiding op een mogelijk datalek bestaat onder andere uit het opstellen van heldere beleidsmaatregelen en het regelmatig testen van procedures.

Het niet melden van een lek binnen de gestelde termijn kan resulteren in een boete naast een mogelijke boete voor het datalek zelf.

+Meer rechten voor betrokkenen - technisch

De GDPR versterkt de rechten van betrokkenen, bijvoorbeeld door het recht toe te voegen waarmee een persoon de data die over hemzelf wordt verwerkt kan inzien, laten aanpassen of zelfs laten verwijderen.

Een van de hoofddoelen van de GDPR is om de rechten van het individu te beschermen. Voor een organisatie resulteert dit in het aanpassen of toevoegen van procedures voor het kunnen verwerken van toegangsverzoeken tot de persoonsgegevens van betrokkenen.

In de meeste gevallen zal een organisatie geen vergoeding kunnen vragen voor het verschaffen van toegang tot de data en dient binnen een maand aan dit verzoek te kunnen voldoen.

Dit recht geeft individuen de mogelijkheid om de verantwoordelijke en alle eventuele verwerkers te verzoeken persoonsgegevens te verwijderen, zonder onnodige vertraging. Dit verzoek moet ingewilligd worden in situaties waarin er vraagtekens bestaan bij de uitvoering van de verwerking of wanneer een individu toestemming van verwerking terugtrekt.

Derden die inzicht of toegang hebben tot de persoonsgegevens van betrokkenen dienen ook te voldoen aan dit verzoek.

De GDPR definieert profileren als “elke vorm van geautomatiseerd verwerken van persoonsgegevens die gebruikt worden om persoonsgebonden aspecten te evalueren, in het bijzonder waarmee geanalyseerd wordt en/of waarmee voorspellingen worden gedaan die te maken hebben met de performance op het werk, de economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie en beweging binnen een gebied.” Desondanks bestaat er enig onduidelijkheid over de manier waarop een individu het recht op automatische besluitvorming gebaseerd op profilering kan aanvechten.

De GDPR introduceert een nieuw recht op data overdraagbaarheid, wat inhoudt dat een individu de geautomatiseerd verwerkte persoonsgegevens kan opvragen. De verwerker zal deze informatie in een door machines verwerkbaar formaat dienen aan te leveren.

Als onderdeel van het versterken van de rechten van het individu, heeft de Europese Commissie ingestemd met het beperken van het verwerken van persoonsgegevens voor marketingdoeleinden. Hierin geldt ook het beperken van profileringsactiviteiten met een marketingdoel.

Als een individu bezwaar aantekent bij een organisatie dan zal deze het verwerken van betreffende persoonsgegevens direct moeten stopzetten. Daarnaast zullen de contactgegevens van het individu op een interne lijst moeten worden bijgehouden.

Organisaties zijn verplicht om individuen te informeren over hun rechten op het verwerken van persoonsgegevens.

+Communiceren van privacy info

Het verkrijgen van goedkeuring van individuen op het verwerken van zijn of haar persoonsgegevens dient voor een individu even eenvoudig te zijn als het terugtrekken van de goedkeuring. Goedkeuring of terugtrekking kan niet worden afgeleid uit stilte, vooraf aangekruiste vakjes of inactiviteit.

Als onderdeel van het versterken van de rechten van het individu, heeft de Europese Commissie ingestemd met het beperken van het verwerken van persoonsgegevens voor marketingdoeleinden. Hierin geldt ook het beperken van profileringsactiviteiten met een marketingdoel.

De GDPR vereist dat organisaties toestemming van ouders moeten krijgen voordat ze persoonsgegevens van minderjarigen mogen verwerken. Als een individu bezwaar aantekent bij een organisatie dan zal deze het verwerken van betreffende persoonsgegevens direct moeten stopzetten. Daarnaast zullen de contactgegevens van het individu op een interne lijst moeten worden bijgehouden.

De introductie van de GDPR betekent voor veel organisaties dat zij meer informatie zullen moeten delen met individuen waar zij persoonsgegevens van verwerken. Informatie die gedeeld moet worden omvat onder andere de juridische grondslag voor de verwerking van de gegevens, de bewaartermijn en het recht van het individu om meldingen te maken bij de Autoriteit Persoonsgegevens mits er problemen zijn met het verwerken van persoonsgegevens. De GDPR vereist in de communicatie naar de eigenaren van de persoonsgegevens beknopte en duidelijke taal.

+Data beveiliging (integriteit en vertrouwelijkheid)

De GDPR hanteert data beveiligingsprincipes vergelijkbaar met die uit de huidige richtlijn, zoals: eerlijkheid, rechtmatigheid en transparantie; beperking van het doel; gegevensminimalisering; data kwaliteit; veiligheid, integriteit en vertrouwelijkheid.

U dient ervoor te zorgen dat persoonsgegevens worden verwerkt op een wijze die de veiligheid garandeert, met inbegrip van bescherming tegen onbevoegde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of schade: “De organisatie en service provider die namens organisatie persoonsgegevens verwerkt neemt passende technische en organisatorische maatregelen waarmee een minimaal beveiligingsniveau wordt gegarandeerd passend bij de risico’s”.

De GDPR stelt een aantal veiligheidsmaatregelen die kunnen worden gebruikt om de bescherming van gegevens te waarborgen, waaronder: pseudonimisering en versleuteling van persoonsgegevens; continuïteit in het garanderen van vertrouwelijkheid, integriteit, beschikbaarheid en de veerkracht waarborgen van systemen en diensten waarmee persoonsgegevens worden verwerkt; het vermogen om de beschikbaarheid van en toegang tot gegevens bij een fysiek of technisch incident tijdig te kunnen herstellen; een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om de verwerking van persoonsgegevens goed te kunnen beveiliging.

De GDPR specificeert encryptie als een oplossing die kan helpen om de naleving van een aantal van haar verplichtingen te verzekeren. De verordening zegt hierover het volgende:

 

Article 32 – Security of processing

 

“1.   Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate: (a) the pseudonymisation and encryption of personal data […]”

 

Article 34 – Communication of a personal data breach to the data subject

 

“3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met: (a) controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption […]”

+Data documentatie, juridische grondslag en audit

Organisaties dienen documentatie bij te houden van de verzamelde persoonsgegevens, wat de oorsprong is en met wie het wordt gedeeld.

Als u in het bezit bent van incorrecte persoonsgegevens en deze gegevens zijn gedeeld met een andere organisatie, dan vereist de GDPR dat u de andere organisatie over de onnauwkeurigheid op de hoogte stelt, zodat zij hun eigen gegevens kunnen corrigeren. Een informatie-audit binnen uw organisatie kan een vereiste zijn en helpen om aan de verantwoordingsplicht te kunnen voldoen.

De GDPR vereist dat een organisatie identificeert hoe persoonsgegevens worden verwerkt en dat de juridische basis waarop een organisatie persoonsgegevens verwerkt en documenteert duidelijk is.

Dit is van belang omdat afhankelijk van de wettelijke basis voor de verwerking van persoonsgegevens een aantal rechten van individuen wijzigen met de komst van de GDPR. Een voorbeeld hiervan is dat individuen het recht hebben om hun gegevens te laten wissen. Echter, toestemming is slechts één van de manieren voor het verantwoorden van het bewerken van persoonsgegevens, maar wellicht niet de beste optie omdat een individu het op ieder gewenst moment kan terugtrekken.

De informatie op deze website vormt geen juridisch advies. Deze informatie kan niet gebruikt worden bij het maken van financiële of zakelijke beslissingen. ESET is niet aansprakelijk voor de resultaten die uit dergelijke acties vloeien. Vraag altijd onafhankelijk juridisch advies.

Download het Stappenplan naar GDPR Compliance

ESET heeft in samenwerking met juridisch adviseurs een diepgaande gids geschreven over hoe de nieuwe EU verordening effect zal hebben op organisaties.

https://encryption.eset.com/nl/wp-content/uploads/sites/13/2016/08/guide_general_data_protection_regulation.png

Online compliance check

Deze website is in het leven geroepen om u te helpen de GDPR te leren begrijpen, inzicht te geven in de vereiste maatregelen en waar mogelijk oplossingen te bieden.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

88% van de bedrijven zijn nog niet klaar voor de GDPR

Uit onderzoek van IDC blijkt dat maar 12% van de Nederlandse bedrijven op dit moment compliant is aan de GDPR.

Bekijk onze infographic voor meer details:

Hoeveel weet u van de GDPR?

18% niets | 61% weinig | 21% alles

Er wordt gebruik gemaakt van cookies op deze website. Meer informatie.

Accepteer