De GDPR-wetgeving uitgelegd in vijf vragen
Wat is de GDPR?
De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is een geheel van regels om de gegevens van Europese burgers beter te beschermen. De wetgeving werd op het einde van vorig jaar goedgekeurd, en bestaat uit twee delen: de Regulation, die van toepassing is op de bedrijfswereld, en de Directive, voor overheidsdiensten zoals politie en justitie.
Beiden treden ze in mei 2018 officieel in werking; de komende twee jaar zullen fungeren als een overgangsperiode.
Waarom werd de Europese wetgeving rond databescherming veranderd?
De GDPR is in feite het resultaat van een herziening van de Europese wetgeving uit 1995; de Data Protection Directive. Die wetgeving werd door elke lidstaat op een andere manier geïnterpreteerd, wat uiteindelijk leidde tot fragmentatie en onduidelijkheid. Daarnaast had de wetgeving nood aan modernisering om ontwikkelingen zoals de cloud en sociale media – en de enorme hoeveelheden data die daarmee gepaard gaan – het hoofd te bieden.
Wat betekent de GDPR voor bedrijven?
Op 25 mei 2018 zullen bedrijven die persoonsgegevens verzamelen, volledig moeten voldoen aan de nieuwe set regels van de GDPR. Met persoonsgegevens wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden: een naam, adres, telefoonnummer, e-mailadres, foto, en vele andere factoren. Hier lees je wat nu wel en niet als persoonsgegeven wordt beschouwd.
De voornaamste vernieuwingen in de GDPR draaien rond vier pijlers:
1. Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.
2. Data-overdracht: Burgers zullen hun gegevens kunnen overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen.
3. Recht om vergeten te worden: Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden – ook als de data inmiddels gedeeld is met derde partijen.
4. Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.
Om die regels na te leven, moeten bedrijven exact weten waar ze persoonsgegevens verzamelen, en hoe deze beschermd en verwerkt worden. Daarom is het voor bepaalde bedrijven aangeraden om een data protection officer aan te nemen; iemand die instaat voor de handhaving van de GDPR binnen het bedrijf.
Wat zijn de voordelen?
De GDPR kan rekenen op heel wat kritiek, maar uiteindelijk zijn er ook voordelen aan verbonden. De eenmaking van een versnipperd legaal raamwerk bijvoorbeeld. Dankzij de uiteenlopende interpretatie van de vorige wetgeving, moesten bedrijven voorheen rekening houden met 28 verschillende raamwerken rond databescherming. Binnenkort zorgt de GDPR voor één legaal kader dat in heel Europa geldt. Zo wordt het gemakkelijker voor kmo’s om de activiteiten in het buitenland uit te breiden, aangezien ze geen rekening moeten houden met een andere wetgeving.
Bovendien kan de GDPR bedrijven op die manier collectief zo’n 2,3 miljard euro per jaar kunnen besparen; geld dat normaal naar advocaten en consultants zou gaan om wijs te geraken uit de verschillende wetgevingen.
Wat gebeurt er als de GDPR niet wordt nageleefd?
Bedrijven die aan de GDPR verzuimen, kunnen zware repercussies verwachten. Zo wordt er in de GDPR gewag gemaakt van verschillende boetes. Wanneer de verzamelde data niet correct wordt beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet, met een maximum van 20 miljoen euro.