Binnenkort wordt een nieuwe verordening inzake gegevensbescherming ingevoerd

Bereidt u nu voor op de invoering van de Europese algemene verordening gegevensbescherming. Hier zijn tien punten die u zullen helpen en waar u direct mee aan de slag kan gaan.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?

In mei 2016 heeft de EU een algemene verordening gegevensbescherming aangekondigd. Wat we al weten is dat de nieuwe regeling vanaf mei 2018 ingaat, na een overgangsperiode van twee jaar. De verordening zal nieuwe operationele eisen met zich mee brengen voor bedrijven die persoonsgegevens verwerken.

Omdat de definitie van “persoonsgegevens” zo breed is, vallen bijna alle bedrijven ook daadwerkelijk onder de jurisdictie. Aangezien het 2018 is voor we er erg in hebben en de regelgeving inzake gegevensbescherming van kracht zal zijn, hebben we tien punten verzameld die u zullen helpen om vandaag al aan de slag te gaan.


1. Laat zien dat u de regels opvolgt
De nieuwe verordening schrijft voor dat het houden van een register met persoonlijke informatie kan aantonen dat de persoonsgegevens op de voorgeschreven wijze worden verwerkt.

In de praktijk betekent dit dat u een register moet bijhouden van de gegevensverwerking die onder uw verantwoordelijkheid valt om te bewijzen dat de verwerking in overeenstemming is met de regelgeving.

2. Zorg ervoor dat u toestemming hebt
Als de verwerking van persoonsgegevens is gebaseerd op de instemming van een persoon, dan moet u kunnen aantonen dat een dergelijke toestemming is verleend.

Daarnaast zullen de vereisten voor toestemming in de toekomst strenger worden:

- Toestemming moet duidelijk worden vermeld in een schriftelijke, elektronische of gesproken verklaring;
- De toestemming moet aantonen dat de persoon vrijwillig, individueel, bewust en expliciet heeft aangegeven dat hij of zij het gebruik van persoonsgegevens heeft geaccepteerd;
- Normaal gesproken kan een persoon toestemming geven door te klikken op het selectievakje "ik geef toestemming".

3. Het recht om te worden vergeten
Een nieuw onderwerp dat zal worden ingevoerd met de verordening is het recht van de geregistreerde persoon om te worden vergeten. In de praktijk betekent dit het recht om hun gegevens uit uw databases te laten verwijderen.

Een dergelijke situatie kan zich voordoen als de persoon de toestemming intrekt die is gegeven om hun persoonlijke gegevens te gebruiken. Als het gebruik van de persoonsgegevens echter op een andere rechtsgrondslag berust, is er geen verplichting om de gegevens te verwijderen.

Als u een verplichting hebt om gegevens te verwijderen, moet u alle entiteiten informeren die de gegevens hebben ontvangen of openbaar hebben gemaakt. Dit om te verzekeren dat alle koppelingen, duplicaten en kopieën met betrekking tot het materiaal ook worden verwijderd.

4. Het recht om gegevens te verplaatsen
Op dit moment heeft iedereen het recht om zijn of haar eigen gegevens in een machine-leesbaar formaat te ontvangen en over te brengen naar een andere registerhouder.

Dit recht geldt ook voor persoonsgegevens die een persoon aan u heeft geleverd via toestemming of een overeenkomst. Deze verplichting verplicht u echter niet om systemen voor gegevensverwerking, die technisch compatibel zijn, goed te keuren of te behouden.

5. Verbod op profilering kan invloed op u hebben
Iedereen heeft het recht om geen ​​onderwerp van een beslissing te worden op basis van de automatische verwerking van gegevens die een gerechtelijk of anderszins significant effect kunnen hebben op hen. Met andere woorden betekent dit dat u geen belangrijke beslissing mag maken die een persoon betreft op basis van een automatisch gegevensverwerkend proces.

Een uitzondering op dit “verbod op profilering” zou zijn als de beslissing nodig is voor het voltooien van een contract tussen een persoon en uw bedrijf. U moet ervoor zorgen dat uw profilering en besluitvormingsmodellen voldoen aan de wet en dat alle nodige wijzigingen worden aangebracht. 

Een veelvoorkomend voorbeeld van uitzondering op het verbod van profilering is bij het nemen van kredietbeslissingen. Deze beslissingen zijn vaak gebaseerd op geautomatiseerde classificatiesystemen en besluitvormingsaanbevelingen.

6. Informeren over tekortkomingen in de beveiliging van uw gegevens
In de toekomst zult u worden verplicht de autoriteiten en geregistreerde personen te informeren over inbreuken op de gegevensbeveiliging. Dit geldt ook voor situaties waarin elke individuele rechten en vrijheden worden overtreden. In het geval dat deze situaties zich voordoen, zijn er een aantal acties die u moet uitvoeren:

- U moet de autoriteiten binnen 72 uur na de inbreuk in kennis stellen;
- U moet alle betrokkenen van de inbreuk op de hoogte brengen als de veiligheid waarschijnlijk hun rechten en vrijheden aanzienlijk in gevaar brengt.

Om aan deze verplichtingen te voldoen is het belangrijk dat u interne instructies en procedures opstelt om voor een efficiënt en correct proces te zorgen

7. Informeren over uw gegevensproces
Bedrijven over de hele wereld verzamelen nu meer persoonlijke gegevens dan ooit tevoren. Om in de toekomst te voldoen aan de EU-verordening, moet u meer informatie geven over de verwerking van gegevens dan eerder was vereist.

Wat dit voor u betekent is dat u de bewaartijd van persoonsgegevens moet vermelden. Of, als dat niet mogelijk is, moet u informatie geven over de criteria die gebruikt worden om de bewaartijd te bepalen.

In de praktijk betekent dit bijvoorbeeld het bijwerken van het register en gegevensbeveiligingsdocumenten, evenals het denken over hoe het informeren van de geregistreerde personen in de praktijk wordt uitgevoerd.

8. De rol van de nieuwe functionaris voor gegevensbescherming
Met de toenemende aandacht voor gegevensbescherming moet u mogelijk een functionaris voor gegevensbescherming benoemen die de gegevens verwerkt. Organisaties die een functionaris voor gegevensbescherming nodig hebben zijn bijvoorbeeld bedrijven waar sprake is van een brede, regelmatige en systematische controle van mensen of waar de kernactiviteiten bestaan ​​uit een dergelijke monitoring.  Met dit in het achterhoofd raden wij u aan om te evalueren of de vereiste van een functionaris voor gegevensbescherming op u van toepassing is of niet.

9. Voor de uitbesteding van de verwerking van persoonsgegevens zijn beschermende maatregelen van u nodig
Als u een deel van het gegevensproces hebt uitbesteed aan een andere entiteit en zij verwerken de persoonsgegevens namens u, dan zijn er een paar dingen die u zult moeten doen:

- U moet ervoor zorgen dat de adequate technische en organisatorische beschermingsmaatregelen voldoen aan de eisen van de regelgeving;
- U moet ervoor zorgen dat de rechten van geregistreerde personen worden beschermd.

In de praktijk betekent dit dat u situaties moet identificeren waarin outsourcing geschikt is en ervoor moet zorgen dat alle contracten correct worden opgesteld. De opslag van gegevens in cloud-diensten wordt bijvoorbeeld beschouwd als outsourcing, hoewel de serviceprovider de gegevens niet actief verwerkt.

10. Overtreding kan een fikse boete opleveren
Het is ook belangrijk om te weten dat u naast een waarschuwing ook een fikse boete kunt krijgen voor overtredingen van de verordening inzake gegevensbescherming. De boete kan oplopen tot maximaal 20 miljoen euro of 4 procent van de totale omzet van uw bedrijf.