De General Data Protection Regulation (GDPR) – wat betekent dit voor uw bedrijf?

Geschreven door Exact. Gepost in Biz box

Digitalisering verandert de wereld in een razendsnel tempo. Aan de ene kant maakt het veel zaken eenvoudiger. Aan de andere kant brengen al die data ook de nodige risico's met zich mee, met name op het gebied van privacy. Dit is dan ook een belangrijk punt voor de Europese Unie en daarom hebben ze de General Data Protection Regulation (GDPR) opgesteld, een regeling die ook veel middelgrote bedrijven raakt.

GDPR –wat is het en wanneer gaat deze regeling in?

De General Data Protection Regulation (GDPR) is in het leven is geroepen om de dataprotectie van individuen binnen de Europese Unie te versterken en uniform te maken. Veel bedrijven zullen te maken krijgen met de effecten van de GDPR en daarom is het belangrijk om hierop voorbereid te zijn. De regeling is een nieuw wettelijk instrument dat werd aangenomen op 27 april 2016 en op 25 mei 2018, na een transitieperiode van 2 jaar, in werking treedt. De GDPR heeft – in tegenstelling tot een richtlijn – geen verdere, ondersteunende wetgeving nodig om door overheden ingevoerd te worden.

Wat staat er in de GDRP?

In de GDPR staan een aantal basisprincipes voor dataprotectie die voor bedrijven van belang zijn:

Rechtmatigheid, eerlijkheid en transparantie – Bedrijven moeten persoonlijke data op een rechtmatige, eerlijke en transparante manier verwerken in relatie tot de personen waarop de data betrekking hebben.

Integriteit en vertrouwelijkheid – Bedrijven moeten persoonlijke data verwerken op een manier die zorgt voor een gepaste beveiliging van de persoonlijke data. Inclusief beveiliging tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit moeten bedrijven doen door gebruik te maken van gepaste technische en organisatorische maatregelen.

Dataminimalisering – Persoonlijke data moeten adequaat, relevant en alleen beschikbaar zijn voor die personen die nodig zijn in relatie tot de doelen waarvoor de data verwerkt worden.

Afbakening van het doel – Bedrijven moeten persoonlijke data verzamelen voor gespecificeerde, expliciete en rechtmatige doelen, en niet verder verwerken op een manier die niet aansluit bij die gestelde doelen. Verdere verwerking van persoonlijke data voor archiveringsdoeleinden voor publiek belang, wetenschappelijk en historisch onderzoek, of statistische doeleinden wordt niet gezien als ‘niet in aansluiting’ met de originele doelen. Maar in dat geval moeten organisaties wel voldoen aan de voorwaarden in Artikel 83(1). Dit artikel beschrijft de waarborgen en afwijkingen in relatie tot het verwerken van data voor de hierboven genoemde doeleinden.

Afbakening van de opslag – Bedrijven moeten persoonlijke data opslaan op een manier die de identificatie van de personen, waarop de data betrekking hebben, voor niet langer mogelijk maakt dan strikt noodzakelijk is voor het bereiken van de doelen waarvoor het bedrijf de persoonlijke data verwerkt. Persoonlijke data mogen wel voor langere periodes opgeslagen worden als ze specifiek worden verwerkt voor archiveringsdoeleinden voor publiek belang, wetenschappelijk en historisch onderzoek, of statistische doeleinden. Dit moet dan echter wel in overeenstemming zijn met Artikel83(1), en onder de voorwaarde dat het bedrijf gepaste technische en organisatorische maatregelen treft.

Nauwkeurigheid – Persoonlijke data moeten nauwkeurig zijn en, als nodig, geüpdatet worden. Bedrijven moeten iedere redelijke maatregel nemen om ervoor te zorgen dat persoonlijke data die niet nauwkeurig zijn, in relatie tot de doelen waarvoor ze verwerkt worden, worden gewist of gerectificeerd – direct en zonder vertraging.

Verantwoording door de controller

De bedrijfscontroller speelt tot slot een belangrijke rol in de GDPR. Hij of zij is er verantwoordelijk voor dat het bedrijf handelt in overeenstemming met de bovenstaande GDPR-principes. Bovendien moet de controller in staat zijn om dat ook aan te tonen.

Wees voorbereid

Wat moet u als bedrijf doen om voorbereid zijn op de GDPR? Alle bedrijven die persoonlijk data verwerken, archiveren, doorsturen etc. moeten goed op de hoogte zijn van de regels van de GDPR. Dit kunnen bijvoorbeeld persoonlijke data zijn van uw klanten, uw potentiële klanten, maar ook van uw medewerkers. Zorg ervoor dat u een dataprotectie-beleid opstelt. Of als u dat al heeft, dat u dit beleid goed reviewt om te zorgen dat het aan de nieuwe regels voldoet. Als gevolg van de nieuwe regels heeft u ook nieuwe gedragsregels nodig binnen uw bedrijf, en training om ervoor te zorgen dat uw mensen zich gedragen in lijn met de nieuwe principes. Zorg er tot slot ook voor dat uw controller de juiste middelen heeft om te zorgen dat aangetoond kan worden dat het bedrijf voldoet aan de GDPR. Het duurt nog even tot mei 2018, maar wacht niet te lang met voorbereidingen en zorg ervoor dat uw bedrijf op tijd klaar is voor de nieuwe regels.

CRM

GDPR/ AVG

Wilt u hier meer over weten?

Bekijk hier meer informatie »