De GDPR staat voor General Data Protection Regulation. Dit is een Europese privacywetgeving die op 25 mei 2018 van kracht is gegaan. Deze wet geldt sindsdien binnen de hele Europese Unie (EU) en de Europese Economische Ruimte (EER). De Nederlandse naam voor deze wet is de AVG (Algemene Verordening Gegevensbescherming).
Het doel van deze wet is om de privacy en bescherming van persoonsgegevens van EU-burgers te kunnen versterken. Daarnaast doelt deze wet erop om uniforme en centrale regels te creëren waar bedrijven en organisaties zich aan moeten houden.
De GDPR en de AVG-wet zijn geen optionele richtlijnen, maar een verplichte wet. Naast dat deze wet geldt voor bedrijven binnen de EU, geldt deze wet ook voor organisaties buiten de EU, zolang zij goederen of diensten aanbieden aan personen in de EU of het gedrag van mensen in de EU volgen.
Als bedrijf dat persoonsgegevens verwerkt, moet je voldoen aan verschillende eisen:
Transparantie en legitimiteit: je moet duidelijk maken aan de personen welke gegevens je verzamelt, waarom je ze verzamelt en op basis van welke wettelijke grondslag.
Minimale gegevensverwerking: je mag alleen data verzamelen wanneer dat echt nodig is.
Beveiliging van data: je moet passende technische en organisatorische maatregelen nemen om de data te beschermen tegen verlies, diefstal of misbruik.
Bewaartermijnen beperken: persoonsgegevens mogen niet langer bewaard worden dan dat ze noodzakelijk zijn voor het doel waarvoor ze zijn verzameld.
Aantoonbare compliance: je moet kunnen aantonen dat je voldoet aan alle GDPR‑regels.
Deze kernregels staan onder andere in Artikel 5 van de GDPR en vormen het fundament van de wet.
Functionaris gegevensbescherming (DPO): sommige organisaties zullen een data protection officer moeten aanstellen die toezicht houdt op de GDPR-compliance. Deze organisaties bestaan bijvoorbeeld uit overheidsorganisaties.
DPIA’s (Data Protection Impact Assessments): bij een risicovolle verwerking van de data van personen moet je vooraf beoordelen als bedrijf wat de impact is op de privacyrechten.
Verwerkersovereenkomsten: als je een externe partij gaat inschakelen om de persoonsgegevens te verwerken, moet je hier duidelijk afspraken over maken en vastleggen hoe zij met de data omgaan.
Het melden van datalekken: in het geval van een datalek dat risico’s met zich meebrengt voor betrokkenen, moet je als organisatie het binnen 72 uur bij de toezichthouder en mogelijk ook de betrokken personen melden.
Het niet naleven van deze GDPR-wet kan leiden tot hele hoge boetes van maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet (afhankelijk van wat hoger is).
De GDPR geeft personen (klanten, werknemers en bezoekers) een reeks aan duidelijke privacyrechten. Deze rechten moet de organisatie zich aan houden en kunnen voor meer controle zorgen die mensen hebben over hun eigen gegevens:
Recht op informatie: je moet de klanten informeren over wat je met hun data doet.
Recht op inzage: personen mogen zien welke gegevens jouw bedrijf van hen heeft.
Recht op rectificatie: klanten kunnen onjuiste gegevens laten corrigeren.
Recht op verwijdering (“right to be forgotten”): onder bepaalde omstandigheden mogen gegevens worden verwijderd.
Recht op beperking van verwerking: individuen kunnen gebruik vragen om verwerking te beperken.
Recht op dataportabiliteit: klanten kunnen vragen hun data in een gestructureerd formaat te ontvangen of over te dragen.
Recht van bezwaar: mensen kunnen bezwaar maken tegen gegevensverwerking, bijvoorbeeld direct marketing.
Rechten rondom geautomatiseerde besluitvorming: inclusief profiling‑activiteiten.
Deze rechten moeten door jouw organisatie of bedrijf binnen één maand worden nageleefd, tenzij er juridische uitzonderingen van toepassing zijn.
Hoewel de GDPR voor veel bedrijven veel extra verplichtingen met zich meebrengt, biedt het ook een kans om het vertrouwen van de klanten in de bedrijven te versterken. Door transparant te zijn en zorgvuldig om te gaan met de gegevens en privacyrechten van klanten, kan je als bedrijf ervoor zorgen dat je een concurrentievoordeel krijgt. Daarnaast voldoe je dan direct aan de Europese wetgeving.
Benieuwd naar meer informatie over welke richtlijnen je als organisatie of bedrijf aan moet voldoen? Bezoek dan de website van de General Data Protection Regulation (GDPR).
Gecertificeerde specialisten kunnen helpen bij het inzichtelijk maken van risico’s, het verbeteren van privacy- en beveiligingsmaatregelen en het aantoonbaar voldoen aan de GDPR. Zo werk je gericht toe naar een privacybeleid dat past bij jouw organisatie.
Vragen? Bel gerust naar 0348 796 146
