Logo Europe GDPR |AVG

GDPR / AVG

(General Data Protection Regulation / Algemene Verordening Gegevensbescherming)

Voor website eigenaren

Wat betekent dit voor u?

Wat komt er op u af?

De GDPR geeft een centrale set regels weer die voor alle organisaties in de gehele EU gelijk zijn. Alle organisaties die actief zijn binnen de EU moeten zich aan dezelfde regels gaan houden. Op nationaal niveau wordt vervolgens een lokale toezichthouder aangesteld die toeziet op de naleving van de GDPR binnen het specifieke land. Deze zogenaamde Data Protection Authority (DPA) vervangt de huidige toezichthouder en zorgt ook voor de verantwoording richting EU. In Nederland ligt het voor de hand dat de Autoriteit Persoonsgegevens (nu nog verantwoordelijk voor de handhaving van de Wet Bescherming Persoonsgegevens (Wbp)) deze rol gaat vervullen.

Huidige privacywetgeving (samenvatting)

De Wbp geeft in Nederland het kader voor het gebruik van persoonsgegevens. Een persoonsgegeven is elk gegeven dat direct of indirect herleidbaar is naar een natuurlijk persoon.

Voor de verwerking van persoonsgegevens geldt:

  • je mag ze alleen vastleggen als ze strikt noodzakelijk zijn voor de uitvoering van de dienst of overeenkomst,
  • persoonsgegevens mag je niet gebruiken voor andere doelen dan waar je ze initieel voor hebt gekregen,
  • bijzondere persoonsgegevens mogen überhaupt niet worden vastgelegd (behalve in uitzonderlijke in de wet omschreven situaties),
  • gebruik van persoonsgegevens in niet-productieomgevingen (bijvoorbeeld test-, analyse- of demo-omgevingen) is niet toegestaan.

Niet naleving van deze regels betekent dat een organisatie zich niet aan de wet houdt en strafbaar is. De maximale sanctie bij een overtreding bedraagt 820.000 euro (of in uitzonderlijke gevallen 10% van de jaaromzet). Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

De Wet Meldplicht Datalekken is een integraal onderdeel van de Wbp. Hierin worden aanvullende voorwaarden gesteld aan het omgaan met een datalek. De sancties voor een datalek zijn verder gelijk aan de normale sancties die kunnen worden opgelegd vanuit de Wbp.

Nieuwe Europese privacywetgeving

Na jarenlange onderhandelingen is op 14 april 2016 de nieuwe Europese privacywet aangenomen. In deze General Data Protection Regulation (GDPR), is vastgelegd welke regels vanaf 2018 binnen de hele EU gaan gelden op het gebied van privacy. De GDPR vervangt nationale wetgeving en geldt voor alle organisaties die persoonsgegevens verwerken.

Er is al veel geschreven over de GDPR, maar hier proberen we een heldere samenvatting te geven van de belangrijkste onderdelen van deze wetgeving, met name vanuit ontwikkel- en testperspectief. De lidstaten gaan de komende twee jaar de GDPR implementeren in eigen land. In die tijd kan er op detailniveau nog iets veranderen, maar het algemene beeld staat vast. De belangrijkste punten uit de GDPR zijn:

Centrale regels, lokale handhaving

De GDPR geeft een centrale set regels weer die voor alle organisaties in de gehele EU gelijk zijn. Alle organisaties die actief zijn binnen de EU moeten zich aan dezelfde regels gaan houden. Op nationaal niveau wordt vervolgens een lokale toezichthouder aangesteld die toeziet op de naleving van de GDPR binnen het specifieke land. Deze zogenaamde Data Protection Authority (DPA) vervangt de huidige toezichthouder en zorgt ook voor de verantwoording richting EU. In Nederland ligt het voor de hand dat de Autoriteit Persoonsgegevens (nu nog verantwoordelijk voor de handhaving van de Wbp) deze rol gaat vervullen.

Doelbinding

Er moet te allen tijde een duidelijk doel ten grondslag liggen aan de vastlegging van persoonsgegevens. De bewijslast hiervoor ligt volledig bij de organisatie die de persoonsgegevens verwerkt. Met andere woorden, als organisatie moet je uit kunnen leggen waarom je bepaalde persoonsgegevens nodig hebt. Indien deze uitleg onvoldoende is, of zelfs volledig ontbreekt, dan mogen de gegevens niet worden vastgelegd.

Sterker nog, toestemming voor verwerking van persoonsgegevens is altijd contextgebonden: gegevens die je voor de levering van een bepaald product of dienst nodig hebt (en dus legitiem vastlegt), mag je niet gebruiken voor de levering van andere producten of diensten.

Bovendien hebben consumenten het recht om op elk willekeurig moment hun toestemming om hun gegevens te verwerken in te trekken. Als organisatie heb je dan de plicht om dit direct en zichtbaar uit te voeren.

Data Portability

Een consument heeft het recht op inzage in de gegevens die elektronisch van hem zijn vastgelegd. Hij moet deze gegevens kunnen opvragen zonder afhankelijk te zijn van de organisatie die zijn gegevens heeft vastgelegd. Wat dit in de praktijk waarschijnlijk gaat betekenen is dat organisaties klanten een actueel inzicht moeten gaan geven in alle vastgelegde persoonsgegevens via bijvoorbeeld het klantenportaal.

Consumenten hebben daarnaast het recht hun gegevens ‘door te laten geven’ van de ene organisatie naar de andere. Stel dat een consument zijn energiecontract opzegt bij leverancier A en over wil stappen naar leverancier B, dan is leverancier A verplicht ervoor te zorgen dat alle persoonsgegevens worden overgedragen.

Datalek

Binnen 72 uur nadat een datalek heeft plaatsgevonden (een datalek is elke situatie waarbij persoonsgegevens zijn verwerkt zonder dat er een geldige reden aan ten grondslag lag!), dient de organisatie die hiervoor verantwoordelijk is een melding te maken bij de DPA. Die bepaalt daarna de impact: hoeveel consumenten ervaren de consequenties van het datalek? Alle datalekken dienen bijgehouden te worden in een openbaar register.

Met de Wet Meldplicht Datalekken heeft Nederland alvast een voorschot genomen op deze verplichting.

Data Protection Impact Assesment

Voor alle processen waarbij grote risico’s kleven aan de verwerking van de persoonsgegevens (soort gegevens, verhoogde kans op een datalek et cetera), dient een organisatie een Data Protection Impact Assessment (DPIA) uit te voeren. In dit DPIA moet onder andere staan om welk proces het gaat, welke risico’s er aan dit proces kleven, waarom de persoonsgegevens op deze manier worden verwerkt en welke mitigerende maatregelen getroffen zijn.

Het DPIA lijkt vooral te dienen om organisaties te dwingen actief invulling te geven aan hun zorgplicht. Zij geven vooraf aan welke processen als risicovol gezien worden en wat zij gaan doen om de kans te minimaliseren dat deze risico’s zich inderdaad voordoen.

Data Protection by Design and by Default

Elke organisatie moet zichtbaar maken dat zij zowel bij het design (nieuwe software, nieuwe data- analysetechnieken et cetera) maar ook bij de standaard inrichting (welke persoonsgegevens worden opgevraagd), het minimaliseren van het gebruik van persoonsgegevens centraal gesteld heeft. Dit moet bovendien worden aangetoond in een DPIA. Dit proportionaliteitsprincipe heeft grote impact op testen: de eis dat de gebruikte set aan gegevens aansluit bij het doel dat wordt gediend, betekent feitelijk dat per testsoort moet worden gekeken welke data strikt noodzakelijk is.

Data Protection Officers

Grotere organisaties (niet MKB), worden verplicht een Data Protection Officer aan te stellen. Hij/zij is verantwoordelijk voor het toezien op een juiste naleving van de GDPR door de organisatie.

Sancties

De sancties gaan fors omhoog, onder de Wbp kan de AP organisaties een boete opleggen van maximaal 820.000 euro. Onder de GDPR gaat dit bedrag omhoog naar 4% van de wereldwijde omzet of 20 miljoen euro (de hoogste sanctie geldt).

Gepseudonimiseerde data

In de GDPR wordt het concept ‘gepseudonimiseerde data’ geïntroduceerd als voorkeursoplossing voor het gebruik van persoonsgegevens buiten de productieomgeving. Met gepseudonimiseerde data wordt data bedoeld die zo bewerkt is dat ze niet meer herleidbaar is naar een uniek individu. Het slim maskeren van persoonsgegevens is een voorbeeld van gepseudonimiseerde data.

Samenvatting

De afgelopen periode is de wetgeving op het gebied van privacy al fors aangescherpt, maar met de aanstaande invoering van de GDPR wordt het opnieuw strenger. Van organisaties wordt verwacht dat zij zichtbaar maken dat zij zorgvuldig omgaan met persoonsgegevens. Zo moeten organisaties laten zien dat:

  • zij slechts de absoluut minimale set aan persoonsgegevens vastleggen;
  • er een duidelijk doel ten grondslag ligt aan de verwerkte persoonsgegevens;
  • consumenten te allen tijde inzicht hebben in de van hen vastgelegde gegevens;
  • er ondubbelzinnige toestemming is van de betrokken consument om de gegevens te verwerken;
  • deze toestemming op elk moment ingetrokken kan worden;
  • er bij voorkeur getest wordt met gepseudonimiseerde (gemaskeerde) data;
  • de omvang van de gebruikte testset aansluit bij het beoogde doel.

Het niet naleven van de GDPR kan worden bestraft met een sanctie van 4% van de wereldwijde omzet of 20 miljoen euro (de hoogste sanctie geldt).

De verwachting is dat de GDPR voor veel organisaties aanleiding zal zijn nog eens kritisch te kijken naar hoe zij nu omgaan met persoonsgegevens. Hoe wordt software bijvoorbeeld ontworpen en getest? Maskeer je bijvoorbeeld de persoonsgegevens en gebruik je een aparte subset aan testdata per testsoort? Deze vragen worden steeds relevanter naarmate het jaar 2018 dichterbij komt.

Disclaimer

De informatie op deze website is gebaseerd op een zoektocht op het internet naar aanleiding van de GDPR. Er is getracht om deze informatie zo zorgvuldig mogelijk verwerken. Er wordt echter geen enkele verantwoordelijk genomen voor de correctheid en / of volledigheid van deze informatie.
© 2018 | Insitevision