checklist-gdpr
GDPR, zakelijk

Alles wat je moet weten over de GDPR (AVG) + checklist

De GDPR (General Data Protection Regulation) is een Europese wetgeving die vereist dat bedrijven persoonsgegevens, privacygevoelige en transacties die binnen de EU plaatsvinden zorgvuldig beschermen. Het niet voldoen aan deze regelgeving kan tot hoge boetes leiden voor bedrijven. Het Europees Parlement heeft de GDPR in 2016 geactiveerd, en daarmee een verouderde set van wetten en regels uit 1995 vervangen. Op 25 mei 2018 zal de GDPR officieel en volledig in werking treden. Dan moeten alle bedrijven aan de regels voldoen. In het Nederlands wordt de wet de Algemene Verordening Gegevensbescherming (AVG) genoemd. Wanneer is de wet van toepassing? En wat zijn de gevolgen voor het niet naleven van de nieuwe regels? Hoe kan ik mij als ondernemer voorbereiden op de GDPR? We maken het allemaal duidelijk in dit blog!

Bescherming van persoonsgegevens

Bedrijven die data van inwoners van de Europese Unie verzamelen zullen aan strengere eisen moeten voldoen. Het doel van de GDPR is om consumenten betere rechten met betrekking tot bescherming van hun persoonsgegevens te geven. Voor consumenten goed nieuws, voor bedrijven een nieuwe uitdaging. De nieuwe wet heeft een brede visie wat betreft persoonlijke informatie. Zo moeten bedrijven niet alleen extra voorzichtig omspringen met data als naam, adres en BSN (burgerservicenummer), maar ook met individuele IP adressen en cookie data. Om specifiek te zijn, de GDPR beschermt de volgende type informatie:

  • Persoonsgegevens zoals naam, adres, en ID nummers
  • Online gegevens zoals IP adres, cookie data en RFID tags
  • Gezondheidsdata en genetische data
  • Biometrische data (vingerafdruk, irisscan etc.)
  • Ethnische informație
  • Politieke voorkeur
  • Sexuele orientate

Waar en wanneer is de GDPR van toepassing?

De nieuwe maatregelen zijn identiek voor alle 28 EU lidstaten. Dit betekent dat bedrijven die in verschillende landen opereren met dezelfde set aan regels te maken gaan krijgen. Echter, aangezien die regels erg streng zijn zullen de meeste bedrijven aanzienlijk moeten investeren om aan de wet te voldoen. Verschillende Amerikaanse bedrijven die in Europa opereren hebben al aangegeven hun strategie op ons continent serieus te heroverwegen.

Het is afhankelijk van een aantal factoren of een onderneming aan de GDPR moet voldoen. Als een bedrijf gegevens van EU burgers bezit en/of verwerkt dan valt deze automatisch onder de wetgeving. Zelfs als het bedrijf zelf niet in Europa is gevestigd. De regels gelden voor:

  • Bedrijven die in een EU land opereren
  • Bedrijven die persoonsgegevens van EU burgers beheren of verwerken
  • Bedrijven met meer dan 250 medewerkers
  • Bedrijven met minder dan 250 medewerkers maar waarvan de dataverwerking de rechten en vrijheden van EU burgers beïnvloeden.

Met andere woorden, een overgrote meerderheid van de bedrijven zal aan de eisen in de nieuwe wetgeving moeten voldoen.

Wat zijn de gevolgen voor het niet voldoen aan de wet?

De sancties voor het niet aan de wet voldoen zijn niet mild. Boetes tot 20 miljoen Euro of 4 procent van de jaarlijkse wereldwijde omzet kunnen worden opgelegd. Meer dan de helft van de bedrijven die aan de wet voldoet vreest en verwacht op dit moment dat ze op enig moment een boete zullen krijgen voor het niet volgen van de wet! Er wordt verwacht dat in het eerste jaar nadat de wet actief is, de EU tot 6 miljard Euro aan boetes zal uitdelen! De verwachting is dat bij het ingaan van de wet enkele bedrijven die niet voldoen aan de wet snel worden beboet om een signaal af te geven. Hierna zal het voor de overige organisaties eenvoudiger zijn om een overweging te maken van het risico dat ze lopen.

Goed voorbereiden op de GDPR? Check onze GDPR checklist!

Kortom, de GDPR is niet mals en heeft een grote impact op de bedrijfsvoering van veel ondernemingen. Het is een goede zaak dat persoonsgegevens (beter) beveiligd moeten worden, maar de manier waarop de EU dit aanpakt is zacht gezegd licht controversieel. Hoe kun je je als ondernemer het beste voorbereiden op de officiële invoering, zodat je op 25 mei 2018 niet voor verrassingen komt te staan? Volg onze checklist!

  1. Informeer al je werknemers en collega’s. Zorg dat er bewustwording is in je onderneming over de GDPR, zorg dat er binnen het bedrijf bewust wordt omgegaan met data.
  2. Analyseer waar je data is opgeslagen. Voldoen dienstverleners waar gebruik van wordt gemaakt ook aan de wetgeving? Denk aan het online boekhoudpakket of de (web)hosting partij. Hier kun je niet vroeg genoeg mee beginnen.
  3. Zorg dat je privacyverklaring relevant is. Waar de privacy verklaring aan moet voldoen verschilt per bedrijf, zorg er in ieder geval voor dat deze begrijpelijk en overzichtlijk is.
  4. Controleer of je kan voldoen aan de rechten van betrokkene. Gebruikers waarvan je persoonsgegevens hebt opgeslagen hebben het recht om deze aan te laten passen, in te zien of te laten verwijderen. Deze regels zijn niet nieuw, met de GDPR wordt er wel extra van belang.
  5. Voer je snelheid op. Gebruikers moeten binnen 30 dagen na aanvraag hun dossier met persoonsgegevens kunnen inzien. Dat is nu nog 45 dagen.
  6. Beschrijf de wettelijke grondslag van verwerking van persoonsgegevens in je privacyverklaring. Met wat voor reden worden de gegevens van de gebruiker verwerkt? Stop met het verwerken van niet essentiele data. Als een gebruiker een verzoek tot inkijk indient moet de grondslag van de verwerking kunnen worden teogelicht.
  7. Zorg dat er duidelijk om toestemming wordt gevraagd. Als persoonsgegevens worden opgeslagen, dan moet een gebruiker hier duidelijk en expliciet toestemming voor kunnen geven. Let op: een vinkje dat automatisch aan staat is geen expliciete toestemming!
  8. Minderjarigen moeten toestemming vragen. Als je gegevens opslaat van kinderen jonger dan 16 jaar dan moeten de ouders of voogd hiervoor akkoord geven.
  9. Stel een procedure in werking om datalekken te melden. Dit is verplicht.
  10. Ontwerp elk systeem met privacy als uitgangspunt. Privacy by design is de norm in de GDPR, zorg dat het standaard wordt verwerkt in nieuwe systemen.
  11. Bepaal wie in je onderneming de privacy analyses uitvoert. Privacy Impact Assessments (PIA) zijn ook een verplicht onderdeel van de nieuwe wetgeving.
  12. Check of je een Data Protection Officer (DPO) nodig hebt. Niet iedere onderneming is verplicht hiertoe. Als overheidsinstelling maar ook in zorg- en onderwijsinstellingen is een DPO altijd verplicht.
  13. Bepaal met welke autoriteiten je te maken hebt. Als je bedrijf in meerdere landen persoonsgegevens verzamelt heb je doorgaans te maken met de autoriteiten in het land van de hoofdvestiging. Maar dit hoeft niet in elk geval zo te zijn. Check dit dus goed!
  14. Loop ook al je huidige dienstverleners na. De GDPR is immers geldig voor alle nieuwe en huidige systemen. Als je op dit moment gebruik maakt van een dienstverlener die je data beheert dan moet die ook aan de wet voldoen.
  15. Zorg voor bewijs dat de beveiliging op orde is. Een goed antivirus systeem is een must. Bijvoorbeeld bij G Data kan een bewijs worden gegenereerd dat G Data actief is op uw systemen, hier mee laat u zien dat er aan business security is gedacht. Lees hier meer over G Data Security voor Business

We hopen je met deze 15 stappen op weg te helpen naar het volledige nakomen van de GDPR.

Meer info? Bekijk de volledige whitepaper van onze partner G Data. Download de whitepaper

About SoftGiant Nederland information

Bericht achterlaten

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *