General Data Protection Regulation

 

GDPR

Het nieuwe reglement voor gegevensbescherming van de EU, ook bekend als de GDPR (General Data Protection Regulation), kan een belangrijke impact hebben op uw organisatie en de manier waarop u persoonsgegevens moet verwerken. Uw organisatie zal niet alleen verantwoordelijk zijn voor de garantie dat het reglement wordt nageleefd voor wat betreft de verwerking en bescherming van persoonsgegevens, maar ze kan ook worden bestraft wegens niet-naleving en aansprakelijk gesteld worden voor eventuele schade die voortvloeit uit gaten in de gegevensbescherming. Het Algemeen Reglement voor Gegevensbescherming wil de regels rond gegevensbescherming in heel de EU harmoniseren en gegevensbescherming verbeteren en gelijkvormig maken. Het betreft de veiligheid van persoonsgegevens van EU-burgers en individuen binnen de EU, maar bepaalt ook regels rond de export van persoonsgegevens buiten de EU. De belangrijkste doelstellingen van de Commissie met de GDPR zijn om de burgers de controle terug te geven over hun persoonsgegevens en het regelgevende kader voor internationale bedrijven te vereenvoudigen door de regels binnen de EU gelijkvormig te maken.

Het reglement werd goedgekeurd op 27 april 2016. Het wordt van toepassing op 25 mei 2018 na een overgangsperiode van twee jaar en zal de huidige richtlijn rond gegevensbescherming 95/46/EC van 1995 vervangen. In tegenstelling tot een richtlijn is er geen machtigende regelgeving vereist om door de regeringen te worden goedgekeurd.

 

 
Bezorgdheden

 

  •          Wettelijke & regelgevende rollen en verplichtingen

  •          Bekendheid (waarde, kosten, risico, naleving, architectuur)

  •          Maturiteit en visie

  •          Impact op bedrijfsmodel

 GDPR regulation

 
Uitdagingen 
 

De GDPR zal alle huidige nationale wetten rond gegevensbescherming in de EU vervangen. Hier vindt u een overzicht van de belangrijkste wijzigingen die worden verwacht en die organisaties zullen moeten kennen en waaraan ze zich zullen moeten aanpassen:

 

         Uitgebreid territoriaal bereik

De GDPR is van toepassing op organisaties en hun onderaannemers buiten de EU. Dit betekent in de praktijk dat een bedrijf buiten de EU, dat zich richt op consumenten binnen de EU, aan de GDPR zal onderworpen zijn.

         Verklaarbaarheid en Privacy door Ontwerp

De GDPR maakt organisaties helemaal verantwoordelijk voor het aantonen van naleving. Dit houdt in dat ze de naleving moeten documenteren, beoordelingen moeten uitvoeren van de impact van databescherming op risicovolle gegevensverwerking en de gegevensbescherming door ontwerp en standaard in hun operationele processen moeten implementeren.

         Toestemming

De toestemming van een betrokkene voor de verwerking van zijn/haar persoonsgegevens moet vrijwillig en voor gevoelige informatie uitdrukkelijk worden gegeven, ofwel door een verklaring of een duidelijke bevestigende handeling waarin hij/zij instemt met de verwerking. De toestemming kan op elk moment ingetrokken worden. De organisatie is verplicht te kunnen aantonen dat de toestemming werd gegeven.

         Kennisgeving van inbreuk op de gegevens

Organisaties moeten inbreuken op gegevens melden aan de autoriteit voor gegevensprivacy (Data Privacy Authority). Dit moet onverwijld en indien haalbaar binnen de 72 uur na de vaststelling van de inbreuk worden gedaan. Indien dit tijdskader niet werd gerespecteerd, moet een gestaafde rechtvaardiging worden geleverd. De organisatie moet de betrokkenen waarop de inbreuk van toepassing is, onverwijld inlichten wanneer hun gegevens in gevaar werden gebracht.

         Rol van onderaannemers

Een van de belangrijkste wijzigingen in de GDPR is dat onderaannemers rechtstreekse verplichtingen hebben. Dit betreft het implementeren van technische en organisatorische maatregelen en het onmiddellijk melden van inbreuken op gegevens aan uw organisatie.

         Sancties

De GDPR schrijft straffen voor in geval van inbreuken, met boetes voor overtredingen van tot 4% de jaarlijkse wereldwijde omzet bij inbreuken op gegevens en tot 2% van de jaarlijkse wereldwijde omzet in geval van niet-naleving.

         Hoofd Gegevensbescherming  (Data Protection Officer - DPO)

In specifieke omstandigheden moeten organisaties of onderaannemers een Hoofd Gegevensbescherming aanstellen. De DPO zal voldoende deskundige kennis moeten hebben. De DPO kan in dienst genomen worden of in het kader van een dienstencontract werken.

        Recht om vergeten te worden

     Personen kunnen eisen dat hun persoonsgegevens onmiddellijk worden gewist door de organisatie.

 

In us they trust...

Contacteer ons

Luik

t. +32(0)4 249 72 11

Brussel

t. +32(0)2 286 57 11

Stuur een bericht

Partnerships & Certificeringen