De GDPR staat voor General Data Protection Regulation. Dit is een Europese privacywetgeving die op 25 mei 2018 van kracht is gegaan. Deze wet is sindsdien binnen de hele Europese Unie (EU) en de Europese Economische Ruimte (EER) van toepassing. De Nederlandse naam voor deze wet is de AVG (Algemene Verordening Gegevensbescherming).
Het doel van deze wet is om de privacy en bescherming van persoonsgegevens van EU-burgers te kunnen versterken. Daarnaast heeft deze wet als doel om uniforme en centrale regels te creëren waar bedrijven en organisaties zich aan moeten houden.
De GDPR en de AVG-wet zijn geen optionele richtlijnen, maar een verplichte wet. Naast dat deze wet geldt voor bedrijven binnen de EU, geldt deze wet ook voor organisaties buiten de EU, zolang zij goederen of diensten aanbieden aan personen in de EU of het gedrag van mensen in de EU volgen.
Als bedrijf dat persoonsgegevens verwerkt, moet je voldoen aan verschillende eisen:
Transparantie en legitimiteit: je moet duidelijk maken aan de betrokkenen welke gegevens je verzamelt, waarom je ze verzamelt en op basis van welke wettelijke grondslag.
Minimale gegevensverwerking: je mag alleen data verzamelen wanneer dat echt nodig is.
Beveiliging van data: je moet passende technische en organisatorische maatregelen nemen om de data te beschermen tegen verlies, diefstal of misbruik.
Bewaartermijnen beperken: persoonsgegevens mogen niet langer bewaard worden dan ze noodzakelijk zijn voor het doel waarvoor ze zijn verzameld.
Aantoonbare compliance: je moet kunnen aantonen dat je voldoet aan alle GDPR‑regels (De verantwoordingsplicht).
Deze kernregels staan onder andere in Artikel 5 van de GDPR en vormen het fundament van de wet.
Functionaris gegevensbescherming (DPO): Sommige organisaties zijn verplicht een Data Protection Officer aan te stellen die toezicht houdt op de GDPR-compliance. Dit geldt bijvoorbeeld voor overheidsinstanties en organisaties die op grote schaal bijzondere persoonsgegevens verwerken.
DPIA’s (Data Protection Impact Assessments): Bij een risicovolle verwerking van persoonsgegevens moet je als bedrijf vooraf beoordelen wat de impact is op de privacyrechten (hier stond “beoordelen als bedrijf”, wat dubbelop was met de rest van de zin).
Verwerkersovereenkomsten: Als je een externe partij inschakelt om persoonsgegevens te verwerken, moet je hier duidelijke afspraken over maken en vastleggen hoe zij met de data omgaan.
Het melden van datalekken: In het geval van een datalek dat risico’s met zich meebrengt voor betrokkenen, moet je dit als organisatie binnen 72 uur melden bij de toezichthouder (de Autoriteit Persoonsgegevens) en mogelijk ook bij de betrokken personen zelf.
Let op: Het niet naleven van de GDPR kan leiden tot zeer hoge boetes van maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet (waarbij het hoogste bedrag geldt).
De GDPR geeft personen (klanten, werknemers en bezoekers) een reeks aan duidelijke privacyrechten. Deze rechten moet de organisatie zich aan houden en kunnen voor meer controle zorgen die mensen hebben over hun eigen gegevens:
Recht op informatie: je moet de klanten informeren over wat je met hun data doet.
Recht op inzage: personen mogen zien welke gegevens jouw bedrijf van hen heeft.
Recht op rectificatie: klanten kunnen onjuiste gegevens laten corrigeren.
Recht op verwijdering: onder bepaalde omstandigheden mogen gegevens worden verwijderd.
Recht op beperking van verwerking: individuen kunnen gebruik vragen om verwerking te beperken.
Recht op dataportabiliteit: klanten kunnen vragen hun data in een gestructureerd formaat te ontvangen of over te dragen.
Recht van bezwaar: mensen kunnen bezwaar maken tegen gegevensverwerking, bijvoorbeeld direct marketing.
Rechten rondom geautomatiseerde besluitvorming: inclusief profiling‑activiteiten.
Deze rechten moeten door jouw organisatie of bedrijf binnen één maand worden nageleefd, tenzij er juridische uitzonderingen van toepassing zijn.
Hoewel de GDPR voor veel organisaties extra verplichtingen met zich meebrengt, biedt het ook een kans om het vertrouwen van je klanten te versterken. Door transparant te zijn en zorgvuldig om te gaan met persoonsgegevens en privacyrechten, creëer je als bedrijf een waardevol concurrentievoordeel. Daarnaast voldoe je hiermee direct aan de Europese wetgeving.
Benieuwd aan welke richtlijnen jouw organisatie precies moet voldoen? Bezoek dan de officiële website van de Autoriteit Persoonsgegevens of de informatiepagina’s over de General Data Protection Regulation (GDPR).
Gecertificeerde specialisten kunnen helpen bij het inzichtelijk maken van risico’s, het verbeteren van privacy- en beveiligingsmaatregelen en het aantoonbaar voldoen aan de GDPR. Zo werk je gericht toe naar een privacybeleid dat past bij jouw organisatie.
Vragen? Bel gerust naar 0348 796 146
