Beginnersgids voor GDPR-naleving (2022)

Inhoudsopgave

Wat is GDPR?

U hebt nu waarschijnlijk allemaal gehoord van de term GDPR. Tot 25 mei 2018 waren de richtsnoeren inzake persoonsgegevens, in verband met privacy, een beetje vaag. De gegevensbeschermingsrichtlijn (1995) bevatte wel een aantal basisrichtsnoeren, maar die waren gewoon niet goed genoeg.

We hebben altijd veel belangstelling gehad voor GDPR omdat veel van de VPN’s die we hebben beoordeeld serieuze veranderingen hebben moeten aanbrengen in de manier waarop ze werken, waaronder enkele van de grote spelers zoals Avast en NordVPN.

Het toezicht op en het delen van informatie valt nu onder de Algemene verordening gegevensbescherming (GDPR). Het doel hiervan is ervoor te zorgen dat informatie op verantwoorde wijze wordt behandeld, door elk bedrijf dat met persoonlijke informatie en privacy omgaat.

Volgens de ICO zijn er 7 basisprincipes die in de GDPR zijn vastgelegd. Deze zijn:

  • Rechtmatigheid, billijkheid en transparantie
  • Beperking van het doel
  • Gegevensminimalisering
  • Nauwkeurigheid
  • Opslagbeperking
  • Integriteit en vertrouwelijkheid (veiligheid)
  • Verantwoordingsplicht

De geschetste beginselen zijn geen regels als zodanig, maar meer een schets van de grondbeginselen die moeten worden gevolgd bij het creëren van een goede praktijk inzake gegevensbescherming. Als personen of bedrijven de beginselen niet naleven, kunnen zij een boete krijgen die kan oplopen tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet (de hoogste van de twee).

Wat was er vóór GDPR?

GDPR wordt in heel Europa toegepast, waarbij elk land zijn eigen mate van controle heeft over bepaalde aspecten van de verordening. Het Verenigd Koninkrijk heeft de Data Protection Act (2018) ingevoerd, die de Data Protection Act van 1998 vervangt.

De nieuwe wet werd door het Lagerhuis en Hogerhuis goedgekeurd kort voordat de GDPR in werking trad.

Gevolgen voor het bedrijfsleven

Of u nu een individu, organisatie of bedrijf bent, u kunt worden aangemerkt als een “voor de verwerking verantwoordelijke” of “verwerker” van persoonsgegevens. De Information Commissioners Officer (ICO) schetst wat precies het verschil is tussen verantwoordelijken voor de verwerking en verwerkers.

Bedrijven die op grote schaal persoonsgegevens controleren of verkrijgen, moeten een functionaris voor gegevensbescherming (Data Protection Officer – DPO) in dienst nemen. De rol van de functionaris moet ervoor zorgen dat het bedrijf in kwestie de GDPR naleeft. Alle vragen of verzoeken in verband met gegevensbescherming moeten aan hen worden gericht.

De GDPR is van toepassing op bedrijven die persoonsgegevens van EU-burgers verwerken. Dit is zelfs het geval voor bedrijven met minder dan 250 werknemers. Zoals eerder vermeld, moet elke inbreuk die gevolgen kan hebben voor de rechten van de betrokkenen, worden gemeld aan de Information Commissioner’s Office (ICO).

Indien mogelijk moet een inbreuk worden geregistreerd en gemeld binnen een periode van 24 uur, of hoogstens 72 uur. De ICO moet in kennis worden gesteld van de details van de inbreuk en van de wijze waarop deze zal worden beteugeld en opgelost.

Dankzij GDPR krijgen individuen controle over hoe bedrijven hun gegevens gebruiken. Dit geldt ook voor bedrijven die al over uw gegevens beschikken. Individuen zullen bijvoorbeeld het “recht om te worden vergeten” hebben. Als u een klant bent en niet langer wilt dat een bedrijf uw persoonsgegevens bewaart, hebt u dus het wettelijke recht om uw gegevens in te trekken.

Nuttige checklist voor kleine ondernemingen

GDPR is ongetwijfeld verwarrend, en begrijpelijkerwijs behoorlijk stressvol! Het leek me zinvol een checklist voor Britse kleine ondernemingen samen te stellen, zodat u weet wat u kunt verwachten en wat er van u wordt verwacht.

Uw GDPR-checklist voor kleine bedrijven moet rekening houden met vroegere en huidige werknemers, leveranciers en klanten. Het moet ook betrekking hebben op de gegevens van iedereen die u verwerkt, verzamelt, opslaat of vastlegt, en op welke manier dan ook gebruikt.

1| Begrijp uw gegevens

U moet inzicht hebben in de soorten persoonsgegevens die u en/of uw bedrijf in bezit heeft, en aantonen dat u die begrijpt. Bijvoorbeeld namen, adressen, IP-adressen, bankgegevens, enz. Dit omvat ook gevoelige gegevens zoals religieuze opvattingen en gezondheidsgegevens. U moet aantonen dat u begrijpt waar ze vandaan komen en hoe u die gegevens gaat gebruiken.

2| Denk na over toestemming

Heeft uw bedrijf toestemming nodig om persoonsgegevens te verwerken? Voor sommige marketingtechnieken is toestemming nodig, wat het onder de GDPR veel moeilijker maakt. Toestemming moet uiterst duidelijk en specifiek zijn, dus tenzij u 100% weet wat u doet, is het misschien de moeite waard om niet op toestemming te vertrouwen, tenzij het van cruciaal belang is voor uw bedrijfsmodel.

3| Overweeg veiligheidsmaatregelen

Uw bestaande beveiligingsmaatregelen en -beleid moeten worden bijgewerkt om GDPR-conform te zijn. En als u die nog niet hebt, zult u ze vrij snel krijgen! Hoewel er meer specifieke eisen inzake beveiliging zijn, zou u als algemene voorzorgsmaatregel encryptie kunnen gebruiken.

4| Toegangsrechten

Individuele personen hebben recht op toegang tot hun persoonsgegevens. U moet ervoor zorgen dat uw bedrijf klaar is om deze informatie zo nodig binnen een kort tijdsbestek te verstrekken. Het is mogelijk dat personen hun persoonsgegevens willen verkrijgen om eventuele problemen recht te zetten, of gewoon om ze te hebben, of dat zij ze helemaal willen laten wissen. Voor alle verzoeken geldt een termijn van één maand.

5| Werknemers opleiden

Werknemers binnen uw bedrijf moeten worden opgeleid op het gebied van persoonsgegevens. Zij zullen moeten begrijpen wat persoonsgegevens zijn, en welke processen er zijn om eventuele inbreuken op de gegevens te identificeren. Werknemers moeten weten wie uw functionaris voor gegevensbescherming (Data Protection Officer – DPO) is, en welk team of welke personen daarmee verband houden of verantwoordelijk zijn voor de naleving van de voorschriften inzake gegevensbescherming.

6| Toeleveringsketen

Alle leveranciers en contractanten binnen uw bedrijf moeten GDPR-compliant zijn. Dit is om ervoor te zorgen dat zij geen inbreuken veroorzaken en eventuele sancties of boetes aan u doorberekenen. U zult ervoor moeten zorgen dat ook uw contracten met uw leveranciers worden bijgewerkt, dus zorg ervoor dat u hiervan een kopie krijgt.

7| Eerlijke verwerking

Als onderdeel van de GDPR moet u nu aan personen kunnen uitleggen waarvoor u hun persoonsgegevens gebruikt. Dit hoeft niet moeilijk te zijn en u hoeft zich geen zorgen te maken als u hun gegevens eerlijk en correct gebruikt.

8| Functionaris voor gegevensbescherming

Het is tijd om te beslissen of u al dan niet een functionaris voor gegevensbescherming in dienst moet nemen. Kleine bedrijven zullen waarschijnlijk worden vrijgesteld, maar grotere bedrijven misschien niet. Het is de moeite waard om dit te controleren om er zeker van te zijn dat u de GDPR-regels niet overtreedt.

Definitie van toestemming

Als particulier bent u wellicht vertrouwd met de vooraf aangevinkte vakjes wanneer u zich aanmeldt voor online accounts, producten koopt, zich inschrijft voor nieuwsbrieven, enz. Deze vakjes waren vaak vooraf aangevinkt en enigszins verborgen, waardoor bedrijven toegang kregen tot uw persoonsgegevens. De dagen dat u gebombardeerd werd met ongewenste marketingmails en willekeurige telefoontjes zijn voorbij.

Toestemming is opnieuw gedefinieerd onder de nieuwe GDPR-regels. Voorbij zijn de dagen van kleine lettertjes en verborgen boodschappen waarbij mensen zich “per ongeluk” of onvrijwillig aanmelden voor marketingmails, sms’jes, enz. Het beleid moet nu duidelijk worden gemaakt en op een dergelijke manier worden gepresenteerd.

De regels inzake reeds bestaande persoonsgegevens liggen iets anders. Hiervoor is misschien geen toestemming nodig, maar er moet wel een rechtsgrondslag zijn die in overeenstemming is met de Data Protection Act (DPA). Het belangrijkste hier is te onthouden dat deze wetgevingen van toepassing zijn op bedrijven en consumenten!

Recht van toegang

Het recht op toegang (of subject access) geeft een individu het recht om zijn eigen persoonsgegevens te verkrijgen. Het recht van toegang geeft personen de mogelijkheid te begrijpen hoe hun gegevens worden gebruikt en waarom hun gegevens op die manier worden gebruikt. Dit garandeert dat hun gegevens op een rechtmatige manier worden gebruikt.

Particulieren hebben het recht om bepaalde informatie van bedrijven te verkrijgen, waaronder:

  • een kopie van de persoonsgegevens van een persoon
  • bevestiging dat de persoonsgegevens van een persoon worden verwerkt
  • aanvullende informatie (komt hoofdzakelijk overeen met informatie in een privacyverklaring)

Een individu heeft, zoals bekend, recht op zijn eigen persoonsgegevens. Zij hebben echter geen recht op informatie over andere mensen. Anderzijds, indien de informatie die zij trachten te verkrijgen zowel over hen als over iemand anders gaat, is dit aanvaardbaar.

Als individu is het raadzaam na te gaan of de informatie die u opvraagt al dan niet als persoonsgegevens wordt beschouwd. U kunt hier(voor de zekerheid) nagaan wat als persoonsgegevens wordt beschouwd.

Ben ik een gegevenscontroleur of gegevensverwerker?

GDPR is van toepassing op voor de verwerking verantwoordelijken en op gegevensverwerkers, maar wat betekent dit eigenlijk? Gegevensverwerkers verwijzen naar bewerkingen die op gegevens worden uitgevoerd, dus wanneer gegevens worden opgeslagen, verzameld, geregistreerd, gedeeld, enz. Voor de verwerking verantwoordelijken zijn ook gegevensverwerkers, met dat verschil dat zij beslissen wat het doel of de reden voor de verwerking van de gegevens eigenlijk is.

Gegevensverwerkers

Als gegevensverwerker hebt u wettelijke verplichtingen op grond van de GDPR:

  • Bijhouden en actualiseren van de persoonsgegevens. Dit houdt onder meer in dat de details van de verwerkingsactiviteiten en de categorieën van betrokkenen worden geschetst. De categorieën hebben betrekking op klanten, werknemers, leveranciers, en de soorten verwerking – overdragen, ontvangen, bekendmaken, enz.
  • Gegevens over overdracht naar landen buiten de Europese Economische Ruimte (EER) bewaren en bijhouden
  • Passende beveiligingsmaatregelen, bijv. encryptie, toepassen en handhaven

Als een gegevensverwerker verantwoordelijk is voor een datalek, zal hij veel meer wettelijke aansprakelijkheid hebben dan de gegevensbeschermingsautoriteit. Particulieren kunnen een rechtstreekse vordering instellen tegen de gegevensverwerker, dus het is van het grootste belang dat u uw verantwoordelijkheden als verwerker kent.

Gegevenscontroleurs

Als voor de verwerking verantwoordelijke bent u van nature ook een gegevensverwerker. Dezelfde GDPR-vereisten zijn dus van toepassing. De GDPR-verplichtingen worden echter op u en uw bedrijf gelegd om ervoor te zorgen dat contracten met verwerkers in overeenstemming zijn en dat aan de normen wordt voldaan.