Selecteer een pagina

Wat is de Europese privacywetgeving?

Wellicht heeft u gehoord van de nieuwe verordening voor de bescherming van persoonsgegevens, beter bekend als: General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe Europese regelgeving GDPR vervangt op 25 mei 2018 de bestaande Europese Richtlijn Bescherming Persoonsgegevens.

Doel

De huidige informatie- en communicatietechnologie biedt veel voordelen. We kunnen sneller informatie vinden, producten kopen via het internet, inschrijven voor nieuwsbrieven. Het kan echter ook onze privacy in gevaar brengen. Denk aan misbruik van rekeningnummers, bepalen wanneer iemand met vakantie gaat of hoe vaak iemand ziek is.

Het belangrijkste doel van de GDPR is dan ook het beschermen van de privacy en integriteit van persoonsgegevens van burgers, medewerkers en klanten.

Voor wie

Deze verordening geldt voor alle bedrijven en organisaties werkzaam binnen de EU die persoonlijke gegevens verwerken. Praktisch elke organisatie, groot of klein, heeft op een of ander manier wel te maken met het opslaan, beheren of gebruiken van persoonsgegevens. Men kan het volgende onderscheid aanbrengen:

  • Bedrijven en organisaties die in bezit zijn van persoonsgegevens, of de opdracht hebben uitbesteed om persoonsgegevens te verwerken, ook wel “verwerkingsverantwoordelijke” genoemd;
  • Bedrijven en organisaties die persoonsgegevens verwerken. Het verwerken loopt van storage, de opslaghandeling, tot en met het inzien van de gegevens. Deze bedrijven worden “verwerker” genoemd.

Gevolgen

De GDPR verordening vereist dat een bedrijf of organisatie aantoonbaar moet voldoen aan de wet- en regelgeving rondom privacy. Dat betekent dat het niet alleen IT-technisch geregeld moet zijn, maar dat het ook juridisch geregeld moet zijn. Om dat te realiseren, is het noodzakelijk dat men maatregelen op bedrijfsniveau, maar ook op IT-niveau moet nemen. De boetes kunnen zeer fors zijn en oplopen tot wel 4% van de omzet. Dit geldt per overtreding.

Uitgangspunten GDPR

Beginselen inzake verwerking van persoonsgegevens:

  • Persoonsgegevens dienen op een behoorlijke, rechtmatige en transparante manier te worden verwerkt;
  • Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
  • Alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwerkt;
  • Gegevens moeten correct en actueel zijn;
  • Als identificatie niet meer noodzakelijk is voor het doel, dienen de persoonsgegevens te worden verwijderd of ten minste geanonimiseerd;
  • De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

Wat zijn persoonsgegevens

Persoonsgegevens zijn gegevens betreffende natuurlijke personen. Denk hierbij aan de meest voorkomende gegevens als naam, adres, woonplaats en emailadres, maar ook een foto, rekeningnummer, het koopgedrag bij een webshop, gezondheid of religie. Het betreft overigens niet alleen gegevens uit de privésfeer, maar ook uit de zakelijke / professionele sfeer.

Organisaties (bedrijven, stichtingen en verenigingen) die persoonlijke gegevens opslaan, beheren of verwerken van medewerkers, relaties of andere natuurlijke personen worden een verwerker genoemd en vallen onder de nieuwe verordening. Dit geldt overigens niet voor alle organisaties. Bepaalde taken van de gemeente of politie vallen hier buiten.

Wat is gegevensverwerking

Gegevensverwerking is elke bewerking die op deze persoonsgegevens wordt uitgevoerd.

Een bewerking kan onder meer bestaan uit: het verzamelen, opslaan, wijzigen, doorzoeken en gebruiken of doorgeven van persoonlijk gegevens.

Het doel van gegevensverwerking

De verantwoordelijke voor de verwerking mag persoonsgegevens verwerken, indien aan een aantal voorwaarden wordt voldaan. Zo dienen het doel en het verloop van het verwerken vanaf het begin vastgelegd te zijn en alleen die gegevens die nodig zijn om het doel te bereiken, mogen vastgelegd worden. Gebruik voor andere doeleinden is strafbaar.

Wie is verantwoordelijk

De wet spreekt over een “verwerkingsverantwoordelijke”, oftewel diegene die een doel heeft om gegevens te verwerken. De verwerkingsverantwoordelijke kan een natuurlijk persoon zijn, maar ook een bedrijf, vereniging of gemeente. Een verantwoordelijke hoeft de verwerking zelf niet uit te voeren. Dit kan een verwerker voor de verantwoordelijke doen. Dit is een externe partij, een soort onderaannemer, die de verwerking in opdracht van de verantwoordelijke uitvoert. Denk bijvoorbeeld aan een administratiekantoor dat de boekhouding voor zijn klanten regelt of een “cloud” aanbieder die de back-up voor u regelt.

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD (dit is de verordening in het Nederlands)