Op 25 mei 2018 eindigde de jaren van voorbereiding. In heel Europa begonnen lang geplande hervormingen op het gebied van gegevensbescherming te worden gehandhaafd.
De onderling overeengekomen Algemene Verordening Gegevensbescherming (AVG) bestaat nu ongeveer twee jaar en heeft de wetten gemoderniseerd die de persoonlijke informatie van individuen beschermen.
De AVG vervangt eerdere gegevensbeschermingsregels in Europa die bijna twee decennia oud waren – waarvan sommige voor het eerst werden opgesteld in de jaren negentig. Sindsdien is onze data-zware levensstijl ontstaan, waarbij mensen routinematig hun persoonlijke informatie gratis online delen.
Volgens de EU is de AVG bedoeld om de privacywetgeving in al haar lidstaten te harmoniseren en om individuen meer bescherming en rechten te bieden. GDPR, ofwel General Data Protection Regulation, is ook gemaakt om te veranderen hoe bedrijven en andere organisaties kunnen omgaan met de informatie van degenen die met hen communiceren.
Er is een kans op hoge boetes en reputatieschade voor degenen die de regels overtreden.
De verordening heeft grote veranderingen doorgevoerd, maar bouwt voort op eerdere beginselen inzake gegevensbescherming.
Voor bedrijven die al voldeden aan de pre-GDPR-regels, had de verordening een stapsgewijze verandering.
Ondanks dat er een overgangsperiode vóór de AVG plaatsvond, waardoor bedrijven en organisaties de tijd kregen om hun beleid te wijzigen, was er nog steeds veel verwarring over de regels.
GDPR kan worden beschouwd als ‘s werelds sterkste set gegevensbeschermingsregels, die de toegang van mensen tot informatie over hen verbeteren en limieten stellen aan wat organisaties met persoonlijke gegevens kunnen doen.
De kern van de GDPR zijn persoonlijke gegevens. In grote lijnen is dit informatie waarmee een levend persoon direct of indirect kan worden geïdentificeerd op basis van beschikbare gegevens.
Dit kan iets voor de hand liggend zijn, zoals de naam van een persoon, locatiegegevens of een duidelijke online gebruikersnaam, of het kan iets zijn dat minder direct zichtbaar is: IP-adressen en cookie-ID’s kunnen worden beschouwd als persoonlijke gegevens.
Onder de AVG zijn er ook een paar speciale categorieën gevoelige persoonlijke gegevens die beter worden beschermd.
Deze persoonsgegevens bevatten informatie over raciale of ethische afkomst, politieke opvattingen, religieuze overtuigingen, lidmaatschap van vakbonden, genetische en biometrische gegevens, gezondheidsinformatie en gegevens over iemands seksleven of oriëntatie.
Hoewel afkomstig uit de EU, kan GDPR ook van toepassing zijn op bedrijven die buiten de regio zijn gevestigd. Als een bedrijf in de VS bijvoorbeeld zakendoet in de EU, kan de AVG van toepassing zijn en ook als het een controller van EU-burgers is.
De kern van GDPR zijn zeven hoofdprincipes – ze zijn uiteengezet in artikel 5 van de wetgeving – die zijn ontworpen om te bepalen hoe met de gegevens van mensen kan worden omgegaan.
Ze fungeren niet als harde regels, maar als een overkoepelend raamwerk dat is ontworpen om de brede doelen van de AVG op te stellen. De principes zijn grotendeels dezelfde als die bestonden onder eerdere wetten inzake gegevensbescherming.
De zeven principes van de AVG zijn: rechtmatigheid, eerlijkheid en transparantie; doelbinding; gegevensminimalisatie; nauwkeurigheid; opslagbeperking; integriteit en vertrouwelijkheid (veiligheid); en verantwoording.
In werkelijkheid is slechts een van deze principes – verantwoording – nieuw in de gegevensbeschermingsregels.
Het principe van gegevensminimalisatie is niet nieuw, maar het blijft belangrijk in een tijd waarin we meer informatie dan ooit creëren.
Organisaties mogen niet meer persoonlijke informatie van hun gebruikers verzamelen dan ze nodig hebben.
Het principe is ontworpen om ervoor te zorgen dat organisaties niet te ver gaan met het soort gegevens dat ze over mensen verzamelen.
Het is bijvoorbeeld zeer onwaarschijnlijk dat een online verkoper de politieke mening van mensen moet verzamelen wanneer ze zich aanmelden voor de e-maillijst van de verkoper om op de hoogte te worden gehouden wanneer er verkopen plaatsvinden.
Volgens de gegevensbeschermingswetten van 1998 was beveiliging het zevende principe dat werd geschetst. Persoonlijke gegevens moeten worden beschermd tegen ongeoorloofde of onwettige verwerking, evenals per ongeluk verlies, vernietiging of schade.
In gewone taal betekent dit dat er passende informatiebeveiligingsmaatregelen moeten worden getroffen om ervoor te zorgen dat informatie niet door hackers wordt geopend of per ongeluk wordt gelekt als onderdeel van een datalek.
GDPR zegt niet hoe goede beveiligingspraktijken eruitzien, omdat het voor elke organisatie anders is. Een bank zal informatie op een robuustere manier moeten beschermen dan uw plaatselijke tandarts nodig heeft.
In het algemeen moeten er echter goede toegangscontroles tot informatie worden ingevoerd, moeten websites worden versleuteld en wordt pseudonimisering aangemoedigd.
Verantwoording is het enige nieuwe principe onder GDPR – het is toegevoegd om ervoor te zorgen dat bedrijven kunnen bewijzen dat ze werken om te voldoen aan de andere principes die de verordening vormen.
In het eenvoudigste geval kan verantwoording betekenen dat u moet documenteren hoe met persoonlijke gegevens wordt omgegaan en welke stappen zijn ondernomen om ervoor te zorgen dat alleen mensen die toegang moeten hebben tot bepaalde informatie dat kunnen.
Verantwoording kan ook het opleiden van personeel omvatten in gegevensbeschermingsmaatregelen en het regelmatig evalueren en verwerken van gegevens.
De “vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot” gegevens van mensen moet worden gemeld aan de gegevensbeschermingsautoriteit van een land, waar dit een nadelige invloed kan hebben op degenen over wie het gaat.
Voor bedrijven met meer dan 250 werknemers is er behoefte aan documentatie over waarom de informatie van mensen wordt verzameld en verwerkt, beschrijvingen van de informatie die wordt bewaard, hoe lang deze wordt bewaard en beschrijvingen van technische beveiligingsmaatregelen.
In artikel 30 van de AVG staat dat de meeste organisaties gegevens moeten bijhouden over hun gegevensverwerking, hoe gegevens worden gedeeld en ook worden opgeslagen.
Bovendien moeten organisaties die “regelmatig en systematisch toezicht houden” op grote schaal op individuen of die veel gevoelige persoonsgegevens verwerken, een functionaris voor gegevensbescherming (DPO) in dienst nemen.
Voor veel organisaties die onder de AVG vallen, kan dit betekenen dat er een nieuw personeelslid moet worden aangenomen – hoewel grotere bedrijven en overheidsinstanties mogelijk al mensen in deze rol hebben.
In deze functie moet de persoon rapporteren aan hogere personeelsleden, toezicht houden op de naleving van de AVG en een aanspreekpunt zijn voor werknemers en klanten.
Terwijl GDPR aantoonbaar de grootste tol eist van gegevensbeheerders en verwerkers, is de wetgeving bedoeld om de rechten van individuen te helpen beschermen.
Als zodanig zijn er acht rechten vastgelegd in GDPR. Deze variëren van het mogelijk maken dat mensen gemakkelijker toegang hebben tot de gegevens die bedrijven over hen hebben en dat het in sommige scenario’s ook wordt verwijderd.
De volledige GDPR-rechten voor individuen zijn: het recht om geïnformeerd te worden, het recht op toegang, het recht op rectificatie, het recht op verwijdering, het recht om de verwerking te beperken, het recht op gegevensoverdraagbaarheid, het recht om bezwaar te maken en ook rechten rond geautomatiseerde besluitvorming en profilering.
Wens je hulp bij de GDPR voor je bedrijf? Vraag dan hier je SEO audit aan, deze is steeds inclusief GDPR!
