Gepubliceerd op 15/06/2017 door Kristof D'Hoossche | Categorie: GDPR
In dit blogartikel over de GDPR, de nieuwe Europese privacywet, vatten we even de belangrijkste zaken samen: wat is de GDPR? Voor wie geldt de GDPR? Wat zijn de belangrijkste principes? Wat wordt bedoeld met persoonlijke gegevens? Wat met persoonlijke gegevens die ‘in de cloud’ worden bewaard?
De General Data Protection Regulation (GDPR) bepaalt nieuwe, striktere regels om de persoonlijke gegevens van Europese burgers beter te beheren, verwerken en beveiligen.
De GDPR is een herziening van de Europese wetgeving uit 1995; de ‘Data Protection Directive’. Doordat deze wetgeving door elke lidstaat anders wordt geïnterpreteerd én er dringend nood was aan een modernisering van de regelgeving, werd de Europese wetgeving uit 1995 grondig aangepast.
De nieuwe wetgeving wordt ook de ‘Algemene Verordening Gegevensbescherming’ genoemd.
!! De GDPR is op 24 mei 2016 goedgekeurd. U heeft tot 25 mei 2018 de tijd om u volledig aan de nieuwe wetgeving aan te passen.
De GDPR geldt voor alle bedrijven en organisaties die persoonlijke gegevens verzamelen, beheren en verwerken, en die onafhankelijk van hun grootte:
Elk bedrijf dat persoonlijke gegevens verzamelt, beheert en verwerkt, is dus onderhevig aan de GDPR-wetgeving. Het is wel zo dat niet alle opgelegde maatregelen van toepassing zijn op elke organisatie. Denk bijvoorbeeld aan het aanstellen van een DPO, een Data Protection Officer, die waakt over de handhaving van de GDPR binnen een organisatie. Publieke instellingen die data verwerken, ondernemingen die persoonlijke data systematisch op grote schaal verwerken, of organisaties die gezondheidsdata verwerken zijn zeker verplicht om een DPO in te schakelen.
!! Als u geen rekening houdt met de GDPR-wetgeving, kan u zich aan zware boetes verwachten. Deze boetes kunnen oplopen tot 2% van de jaarlijkse omzet of bij ernstige misstappen zelfs tot 4% van de omzet.
1) Bedrijven moeten burgers op een begrijpelijke en transparante manier informeren over hoe ze persoonlijke gegevens verzamelen en verwerken. Verder moeten bedrijven on demand een kopie van de bewaarde persoonlijke gegevens volledig gratis en elektronisch aan de desbetreffende burger kunnen verstrekken.
2) Bedrijven moeten persoonlijke gegevens kunnen corrigeren en wissen als de persoon in kwestie hiernaar vraagt, ook als de data ondertussen is gedeeld met derden.
3) Bedrijven moeten het verzamelen, verwerken en opslaan van persoonlijke gegevens beperken tot specifieke, rechtmatige doeleinden.
4) Burgers kunnen hun persoonlijke gegevens zonder al te veel gedoe overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen.
5) Bedrijven zijn verplicht om een datalek te melden binnen de 72 uur, tenzij het bedrijf kan aantonen dat het lek geen gevaar is voor de verzamelde persoonlijke gegevens.
6) Bedrijven moeten gepaste technologische maatregelen implementeren om aan de GDPR-regelgeving te voldoen en privacy-rechten van de burgers te beschermen.
!! Vanaf 25 mei 2018 moet u kunnen aantonen welke persoonlijke gegevens u verzamelt, hoe u deze gegevens gebruikt en hoe u deze data beveiligt.
>> Leestip: Gratis e-book – GDPR, 16 concrete To Do’s
Persoonlijke gegevens zijn alle data die rechtstreeks of onrechtstreek kunnen gekoppeld worden aan een individu. Enkele voorbeelden:
!! Voldoen aan de GDPR-regels is de verantwoordelijkheid van het volledige bedrijf. Schuif het daarom zeker niet zomaar af naar uw legal- of IT-departement.
Het spreekt voor zich dat de GDPR ook van toepassing is voor persoonlijke gegevens die in de cloud zijn opgeslagen. Alleen is het niet altijd even gemakkelijk om te weten waar deze data zich exact bevindt, wie er allemaal toegang tot heeft en hoe ze worden beveiligd. Clouddienstverleners zijn er dan ook volop mee bezig om hieraan tegemoet te komen.
Microsoft staat hierbij zeer ver en is de eerste clouddienstverlener die al enkele ‘contractuele garanties’ aanbiedt. Hierbij verbindt Microsoft zich ertoe om GDPR-compatibel te zijn als cloud dienstverlener en dus te voldoen aan de nieuwe GDPR-wetgeving.
>> Leestip: Hoe Microsoft u kan helpen met de nieuwe Europese privacywet
!! Als u gebruikmaakt van een clouddienstprovider voor persoonlijke gegevensopslag en u deze persoonlijke gegevens verwerkt, dan blijft u de eindverantwoordelijke voor deze data. Uiteraard liggen ook bepaalde verantwoordelijkheden bij de clouddienstverlener zelf.
>> Bekijk ook het 13-stappenplan voor een goede voorbereiding, gepubliceerd door de Privacy Commissie.
Bronnen voor dit artikel:
Voor meer informatie en ondersteuning betreffende de GDPR kan u altijd bij ons terecht.
U wilt op de hoogte blijven van alle CRM tips en trends en nieuws over Microsoft Dynamics 365 & Power Platform? Schrijf u nu in en ontvang alle nuttige info elke maand in uw mailbox. Stay tuned!