General Data Protection Regulation

Het zal ongeveer in 2013 zijn geweest dat de Europese Commissie bij monde van de Eurocommissaris voor Justitie, Viviane Reding, een draft publiceerde van de General Data Protection Regulation. Deze verordening moet zorgen voor een geharmoniseerde wetgeving rond persoonsgegevens en het beschermen van data en is  daarnaast een modernisering van de oorspronkelijke de richtlijn uit 1995.  Op 12 maart 2014 hield het Europees Parlement een plenaire stemming en is deze door het voltallige parlement goedgekeurd. Deze verordening heeft een grote impact inzake het managen van data.

Hieronder enkele punten die direct invloed hebben op de huishouding van de bedrijfsdata en de organisatie:

  • Het is een verordening en geen richtlijn zoals die van 1995, oftewel een Europese wet i.p.v. een doelstelling die in alle 27 lidstaten als wetgeving geldt wanneer de GDPR op Europees niveau wordt geratificeerd.
  • Toestemming is specifiek gericht op het doel van verwerking van persoonsgegevens, wijzigt het doel dan vervalt de toestemming
  • De uitvoering van een contract of dienst mag niet afhankelijk zijn van de toestemming (wanneer deze toestemming verwerking toestaat die niet vallen binnen het vastgestelde doel)
  • De toestemming dient bewezen te kunnen worden door de verwerker en moet eenvoudig ingetrokken kunnen worden.
  • Data Protecion Officers (DPO’s) verplicht voor bedrijven met meer dan 250 medewerkers (In de laatste wijziging van de GDPR is de grootte niet relevant maar de hoeveelheid verwerkingen).
  • Right to erasure : Bedrijven en dienstverleners zijn verplicht op verzoek van een data subject (lees persoon) al zijn of haar persoonlijke data te verwijderen. Dit is ook van toepassing op persoonsgegevens die via de oorspronkelijke verwerker ondertussen bij derden terecht zijn gekomen.
  • Boetes tot 5% van de wereldwijde omzet bij overtredingen met een maximum van 100 miljoen euro. Uniformiteit van aangiftes: één Data Protection Authority (In Nederland het CBP) uit het land van aangifte is de leidende instantie voor een Europese aangifte.
  • Europese aansturing van DPA’s vanuit de European Data Protection Board.
  • De vastlegging van het Privacy by Design principe en de verplichte uitvoering van Privacy Impact Assessments (PIA)
  • Data portability: een data subject moet in staat zijn om zijn persoonlijke data op te vragen en te kopiëren op een manier die bruikbare data oplevert is voor het data subject.
  • Pseudonieme data zijn nu opgenomen als een aparte definitie, maar zijn en blijven persoonsgegevens in tegenstelling tot richtlijn  van 1995

Algemeen wordt echter aangenomen dat uiterlijk in 2015 de nieuwe verordening aangenomen zal worden en dat deze per 1-1-2016 in werking treedt.

Het is dus als bedrijf van belang om nu al stappen te nemen om een duidelijk beeld te krijgen waar privacy gevoelige data staat. Tevens moet duidelijk zijn wie welke rechten heeft om privacy data te lezen, wijzigen of te vernietigen.  Ook moet er duidelijke procedures hoe om te gaan met dergelijke data. IO4U kan op meerdere vlakken ondersteuning bieden door middel van Consultancy, trainingen en oplossingen (o.a. Varonis). Wij kunnen bijvoorbeeld ook risico analyse doen om duidelijk te maken welke bedrijfsrisico’s er bij jullie zijn inzake deze nieuwe verordening.