GDPR mei 2018

Wat betekent de GDPR voor u en mij?

- 22 February 2018

De komende drie maanden staan voor een cruciale periode in de internationale cybersecurity en informatieveiligheid. Bedrijven en overheden werken hard om zich voor te bereiden op de komst van de GPDR in mei. Maar wat betekent deze nieuwe Europese privacywetgeving eigenlijk voor ons als consument?

GDPR: General Data Protection Regulation

De General Data Protection Regulation (of in goed Nederlands: AVG, Algemene verordening gegevensbescherming) is vanaf 25 mei 2018 van kracht. Vanaf die datum gelden dezelfde privacyregels in alle EU-landen voor de bescherming van natuurlijke personen in het licht van verwerking van hun persoonsgegevens en het vrije verkeer van die gegevens. 

De GDPR is de belangrijkste verandering in data- en privacywetgeving in twintig jaar. Na vier jaar van voorbereiding en debat werd de wet op 14 april 2016 goedgekeurd door het EU-Parlement. De nieuwe privacywetgeving vervangt Richtlijn 95/46 / EG inzake gegevensbescherming, bedoeld om wetgeving met betrekking tot gegevensprivacy in heel Europa te harmoniseren, om de privacy van alle EU-burgers e beschermen én te versterken en om de manier waarop organisaties gegevens benaderen opnieuw vorm te geven, gericht op transparantie, juistheid, integriteit en verantwoording van persoonsgegevens.

De GDPR garandeert dat persoonsgegevens uitsluitend verzameld worden voor een duidelijk omschreven en gerechtvaardigd doel, dat enkel de gegevens die dat doel dienen verzameld worden en dat die gegevens niet langer dan noodzakelijk worden bewaard. Ook garandeert de wetgeving een aantal rechten met betrekking tot de eerdergenoemde vierpoot transparantie, juistheid, integriteit en verantwoording:

Transparantie: organisaties vereisen toestemming voor gegevensverwerking van hun klanten

Juistheid: de gegevens zijn en blijven correct

Integriteit: de gegevens worden beschermd tegen verlies, vernietiging en toegang door onbevoegden

Verantwoording: organisaties hebben een plicht om aan te tonen aan de regelgeving te voldoen

GDPR voor organisaties

We hebben het uiteraard regelmatig over de GDPR, want er zijn voor organisaties een aantal nieuwe verantwoordelijkheden mee gemoeid, die serieuze voorbereiding en nieuwe methoden van gegevensverwerking en controle vereisen. Tegelijkertijd toonde de Nationale Privacy Benchmark 2017 van de ECP | Platform voor de InformatieSamenleving aan dat maar liefst 8o procent van de Nederlandse bedrijven en overheden er nog niet klaar voor is, terwijl 60 procent van deze organisaties niet weet waar de gegevens van burgers of klanten opgeslagen zijn. Voor iedereen die binnen een organisatie verantwoordelijk is voor informatieveiligheid en privacy gaven we daarom eerder een aantal tips in de voorbereiding op de GDPR. Maar waarom is er behoefte aan die strenge nieuwe regels, en wat verandert er eigenlijk voor de consument?

GDPR voor de consument

In Nederland ziet de Autoriteit Persoonsgegevens toe op de naleving van de Wet bescherming persoonsgegevens, de Wpb. Deze wetgeving zal over ruim drie maanden worden vervangen door de GDPR. De bestaande regels zijn namelijk opgesteld in een periode waarin het internet nog een kleinere rol speelde en het digitale tijdperk een minder stevige grip had op de maatschappij, privacy en de individuele consument. Nieuwe omstandigheden vragen om een wet die daar beter op aansluit.

Privacy

Privacy staat voor persoonlijke vrijheid, zelf bepalen wie welke informatie over jou krijgt en de wens om onbewaakt te kunnen leven. Dat is steeds belangrijker, want in de digitale maatschappij delen we erg veel. Sta maar eens stil bij alles wat Facebook, de vele apps op je telefoon of een willekeurige webshop van je weten. Ook in de moderne werkomgeving krijgt privacy een hoofdrol. In de context van informatieveiligheid spreken we vooral over persoonsgegevens en de bescherming daarvan: wie heeft welke informatie en waarom? Denk maar eens aan alle persoonsgegevens die bij dagelijkse werkzaamheden verwerkt worden. Informatie over medewerkers, leveranciers en andere zakelijke relaties, maar ook gegevens over onszelf als consumenten.

Gegevensbescherming

De GDPR moet ervoor zorgen dat al die gegevens beter worden beschermd. Organisaties krijgen serieuze verantwoordelijkheden en worden daar streng op gecontroleerd, met potentieel stevige boetes als consequentie wanneer regels onvoldoende worden nageleefd. Daar hoort ook aandacht voor informatievoorziening bij: bedrijven en overheden moeten in heldere taal uit kunnen leggen welke gegevens ze gebruiken, terwijl wij als consument meer en sterkere privacyrechten krijgen.

Onder de huidige wetgeving hebben we onder meer al het recht om persoonsgegevens die organisaties van jou verwerken in te zien, deze te laten aanpassen of aanvullen en bezwaar te maken tegen de verwerking van deze gegevens, bijvoorbeeld bij direct marketing. Jouw gegevens mogen alleen voor specifieke doeleinden verzameld en verwerkt worden, en mogen niet voor andere doelen worden misbruikt. Een retailer mag bijvoorbeeld niet zomaar om je geboortedatum vragen en je dan een actie sturen voor je verjaardag, zonder dat je daar expliciet toestemming voor hebt gegeven. Vanuit de GDPR komen daar twee privacyrechten bij: het recht op vergetelheid en het recht op dataportabiliteit.

Extra rechten

Het recht op vergetelheid betekent het recht om online ‘vergeten’ te worden. Dat houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als de betrokkene daarom vraagt. Bijvoorbeeld wanneer de organisatie deze gegevens niet meer nodig heeft voor de doeleinden waarvoor ze zijn verzameld, wanneer toestemming ingetrokken wordt en wanneer er bezwaar aangemaakt wordt tegen de verwerking.

Het recht op dataportabiliteit gaat over overdraagbaarheid van persoonsgegevens. In het kort betekent het bijvoorbeeld dat je het recht hebt te verzoeken om de persoonsgegevens die een organisatie van je heeft te ontvangen, om ze over te kunnen dragen aan een andere leverancier van een vergelijkbare dienst. Dat geldt overigens alleen voor digitale informatie, niet voor papieren dossiers. Bedrijven en overheden zijn in de meeste gevallen verplicht om een verzoek met betrekking tot het uitoefenen van deze rechten binnen één maand in te willigen. Ook zijn ze verplicht om jou daarvan binnen die periode op de hoogte te stellen. Ook als de GDPR geen actie vereist, is de organisatie verplicht om binnen een maand te reageren.

Informatie opvragen

Privacybescherming betekent ook informatie op kunnen vragen, want onder de GDPR zijn organisaties verplicht om je duidelijk te informeren wat ze met je gegevens doen. Dat kan via een online privacystatement, dat ook aan regels verbonden is. Het moet voor consumenten makkelijk te begrijpen zijn, zodat helder is wat er met jouw gegevens gebeurt. Organisaties moeten onder meer laten weten welke gegevens ze verwerken, met welk doel ze dat doen, of de informatie doorverkocht wordt aan andere organisaties en zo ja, aan welke.

De GDPR versterkt het privacyrecht en voegt nieuwe regels toe om persoonsgegevens te beschermen. Uiteraard heb je daar als consument ook een eigen verantwoordelijkheid in. Wees je bewust van al je rechten, maar sta ook eens wat vaker stil bij je digitale footprint: waar laat ik welke gegevens achter, en waarom?

Tip: verklein je digitale footprint en bescherm je gegevens

De verregaande digitalisering heeft veel dagelijkse zaken vergemakkelijkt. Van het maken van afspraken tot het bestellen van boodschappen, en van het selecteren van leuke horeca tot de navigatie er naar toe. Er is weinig wat je niet online kunt regelen. Altijd en overal bereikbaar zijn heeft echter ook nadelen. Je bent zo intensief met je online omgeving bezig, dat je wel eens kunt vergeten wat de invloed op de ‘echte’ wereld is – en hoeveel informatie je daar achterlaat. Daarom de volgende tips:

  • Houd je webbrowser ‘schoon’ door de geschiedenis regelmatig te verwijderen
  • Log social media en andere accounts uit als je klaar bent
  • Vermijd waar mogelijk het delen van persoonlijke gegevens
  • Installeer regelmatig updates voor online software zoals antivirus: automatische meldingen zijn irritant, maar updates bevatten vaak verbeterde bescherming
  • Zorg dat apps en websites niet zomaar bij al je informatie kunnen: je kunt met de juiste instellingen al veel persoonsgegevens beschermen
  • Wees voorzichtig met gratis apps: je ‘betaalt’ vaak met je persoonsgegevens
  • Besef: het delen van gegevens is vaak een keuze, geen verplichting!

 

Meer informatie: Autoriteit Persoonsgegevens

Wil je meer weten? Een goed startpunt voor meer informatie over de GDPR vind je op de website van de Autoriteit Persoonsgegevens (AP), in Nederland verantwoordelijk voor de handhaving van de privacywetgeving. De portal naar achtergrondinformatie vind je via deze link, ook te vinden via 'Dossier AVG' op de homepage autoriteitpersoonsgegevens.nl. Bovendien is de AP onlangs een campagne gestart onder de noemer 'Privacy gaat iedereen wat aan'. Op de bijbehorende website hulpbijprivacy.nl vind je alle rechten en plichten bij elkaar. 

Bekijk ook onderstaande video met alles wat je moet weten over de GDPR, gebaseerd op het 10-stappenplan van de Autoriteit Persoonsgegevens om organisatie te ondersteunen in de voorbereiding op 25 mei 2018.