Wat is GDPR? | Gegevensbescherming & Privacy
GDPR is misschien een EU-verordening, maar het heeft wereldwijd invloed gehad. Inzicht in en aanpassing aan deze wet kan uw bedrijf behoeden voor boetes.
Wat is GDPR in eenvoudige bewoordingen? De General Data Protection Regulation (GDPR) is een wet die in de EU is aangenomen om de privacy en gegevens van burgers te beschermen. Deze verordening is van toepassing op alle organisaties die zaken doen in de EU, ongeacht de locatie van de organisatie.
Wat is GDPR en hoe beschermt het consumenten?
De General Data Protection Regulation is een uitgebreide privacy- en cyberbeveiligingswet die door de Europese Unie is aangenomen met als uitdrukkelijk doel digitale consumenten te beschermen tegen fraude en intimidatie, en hen meer controle te geven over hun persoonlijke informatie. In 2016 geïmplementeerd en vanaf 2018 gehandhaafd als een allesomvattende wet, combineert GDPR strikte regels voor gegevensbeheer, privacy en beveiliging met relatief zware sancties voor elke organisatie die zaken doet in de EU, inclusief non-profitorganisaties en publieke instellingen die digitale informatie verwerken voor marketingdoeleinden.
Wat doet GDPR?
GDPR legt in wezen de rechten van consumenten en bedrijven vast, de reikwijdte van de activiteiten die organisaties mogen uitvoeren bij het beheren en gebruiken van consumenteninformatie, en hoe consumenten eigenaarschap kunnen uitoefenen over hun persoonlijke gegevens. De wet doet dit via diverse rechtsgebieden, bekend als de “Rechten van de betrokkene”.
Volgens de regelgeving is een “betrokkene” iedere persoon van wie informatie kan worden gebruikt voor marketing, bedrijfsprocessen of andere bedrijfsactiviteiten. Betrokkenen zijn volgens GDPR de volledige en uiteindelijke eigenaar van hun informatie en hebben daardoor veel ruimere bevoegdheden over hun gegevens dan in andere rechtsbevoegdheden zoals de Verenigde Staten.
Enkele van deze rechten zijn onder andere:
- Recht op verwijdering: Een betrokkene kan op elk moment en om welke reden dan ook verzoeken om verwijdering van alle informatie die een organisatie over hem of haar heeft. Deze actie moet binnen 30 dagen worden uitgevoerd.
- Recht op inzage in persoonsgegevens: Op elk moment, om welke reden dan ook, kan de consument verzoeken om inzage in alle informatie die een organisatie over hem of haar heeft verzameld. Deze informatie moet binnen 45 dagen worden verstrekt.
- Recht op rectificatie: Op elk moment, om welke reden dan ook, kan de consument verzoeken om correctie van fouten in zijn of haar gegevens door de organisatie.
- Recht op beperking van gegevensverwerking: Betrokkenen kunnen verzoeken om het stopzetten van bepaalde vormen van verwerking van hun digitale informatie.
- Recht van bezwaar: Dit recht stelt de betrokkene in staat bezwaar te maken tegen organisaties die hun recht op beperking van verwerking weigeren.
- Recht op overdraagbaarheid van gegevens: De betrokkene kan verzoeken dat zijn of haar persoonsgegevens naar een derde partij worden gestuurd.
- Recht op kennisgeving: Betrokkenen moeten op de hoogte worden gebracht van het gebruik van hun persoonlijke informatie en hoe zij stappen kunnen ondernemen om problemen rondom deze informatie aan te pakken. Dit omvat ook kennisgeving van verwijderingen of wijzigingen die buiten hun eigen verzoeken plaatsvinden.
- Recht om geautomatiseerde individuele besluitvorming te weigeren: Betrokkenen mogen weigeren dat hun persoonlijke informatie automatisch wordt verwerkt voor doeleinden van automatische marketing of besluitvorming als deze beslissingen negatieve gevolgen voor hen hebben.
Daarnaast vereist GDPR toestemming en opt-in van de betrokkene. In tegenstelling tot andere landen mag een bedrijf in de EU niet zomaar ongevraagde berichten sturen, consumenteninformatie opvragen of gebruiken. Toestemming moet vooraf worden gegeven—dat wil zeggen, consumenten moeten expliciet instemmen met marketing of communicatie.
Bovendien moet deze toestemming het precieze doel van het verzoek bevatten, samen met een beschrijving van waar de informatie voor zal worden gebruikt. Toestemming moet “vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig” zijn.
Wat wordt onder persoonsgegevens verstaan volgens GDPR?
Persoonsgegevens volgens de EU GDPR worden gedefinieerd als alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit omvat zaken als naam, adres, identificatienummers, foto’s, locatiegegevens en online identificatoren zoals IP-adressen en cookies. Zelfs biometrische en genetische gegevens worden als persoonsgegevens beschouwd. Andere persoonsgegevens zijn onder meer, maar niet uitsluitend:
- Gezondheids- en genetische gegevens
- Biometrische gegevens
- Raciale of etnische gegevens
- Politieke opvattingen
- Seksuele geaardheid
- Religieuze overtuigingen
- Lidmaatschap van een vakbond
Bedrijven moeten uiterst zorgvuldig omgaan met het verzamelen en beheren van persoonsgegevens om deze te beschermen tegen misbruik en ongeautoriseerde toegang.
Wie moet voldoen aan GDPR?
Alle bedrijven, organisaties en individuen die gegevens van EU-burgers verwerken, moeten voldoen aan de General Data Protection Regulation (GDPR). Dit geldt voor elke organisatie, bedrijf of persoon die gegevens van EU-burgers verzamelt, opslaat of gebruikt, ongeacht waar de gegevens worden verwerkt of opgeslagen.
Wat zijn mijn GDPR-rechten?
Onder de General Data Protection Regulation (GDPR) hebben EU-burgers een aantal rechten met betrekking tot de manier waarop hun persoonsgegevens worden verzameld en verwerkt. Deze rechten omvatten:
- Het recht om geïnformeerd te worden over gegevensverzameling en -verwerking
- Het recht op inzage in uw persoonsgegevens
- Het recht op rectificatie van onjuiste of onvolledige gegevens
- Het recht op verwijdering of “recht om vergeten te worden”
- Het recht om verwerking van persoonsgegevens te beperken of hiertegen bezwaar te maken
- Het recht op overdraagbaarheid van gegevens
- Het recht om bezwaar te maken tegen geautomatiseerde besluitvorming en profilering
- Het recht om een klacht in te dienen bij een toezichthoudende autoriteit
Wat zijn de toestemmingsvereisten van GDPR?
De toestemmingsvereisten van GDPR geven individuen het recht om te weten hoe hun gegevens worden gebruikt en bieden een praktisch kader voor bedrijven om de persoonsgegevens van hun klanten op de juiste manier te beschermen. Toestemming moet vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn. Dit betekent dat toestemming in duidelijke en begrijpelijke taal moet worden gegeven en niet mag worden afgeleid uit stilzwijgen of inactiviteit.
Toestemming moet ook worden gegeven in een afzonderlijke verklaring, los van andere voorwaarden, en moet op een gemakkelijk toegankelijke manier worden gepresenteerd. Individuen moeten hun toestemming op elk moment kunnen intrekken, en het proces hiervoor moet net zo eenvoudig zijn als het geven van de oorspronkelijke toestemming.
Wat zijn de belangrijkste artikelen in GDPR?
Deze rechten zijn vastgelegd in de artikelen van de GDPR-regelgeving. Omdat verschillende vereisten gelden voor diverse praktijken (beveiliging, marketing, enz.), is het logisch dat bedrijven meer tijd besteden aan het begrijpen van sommige artikelen dan aan andere.
Enkele van de belangrijkste en meest brede artikelen zijn onder andere:
- Artikel 6 – Rechtmatigheid van verwerking: Dit artikel beschrijft de regels rondom verwerking en de rechten die betrokkenen daarbij hebben. Dit omvat wanneer en hoe consumenten toestemming kunnen geven voor verzameling; hoe organisaties toestemming moeten documenteren; en de stappen die organisaties moeten nemen om ervoor te zorgen dat verwerking veilig is, de privacy van die informatie waarborgt en alleen plaatsvindt binnen de duidelijk gedefinieerde grenzen van de gegeven toestemming en redelijk zakelijk gebruik.
- Artikel 15 – Recht van inzage door de betrokkene: Dit artikel stelt dat betrokkenen het recht hebben om al hun gegevens bij een organisatie op te vragen, inclusief aanvullende informatie over hoe hun gegevens worden gebruikt of in de toekomst kunnen worden gebruikt.
- Artikel 16 – Recht op rectificatie: Betrokkenen hebben het recht om onjuiste informatie te wijzigen of bij te werken, hetzij via een automatisch systeem, hetzij door contact op te nemen met de organisatie.
- Artikel 17 – Recht op verwijdering: Dit artikel beschrijft hoe organisaties moeten omgaan met verzoeken tot verwijdering, inclusief de contexten of omstandigheden waarin verwijdering moet plaatsvinden (ingetrokken toestemming, bezwaar tegen verwerking, onrechtmatige verwerking, wettelijke vereisten of geen verdere zakelijke noodzaak).
- Artikel 18 – Recht op beperking van verwerking: Dit artikel bepaalt hoe een betrokkene het verwerken van zijn of haar informatie door een organisatie kan beheren en beperken. Redenen hiervoor zijn onder andere onjuiste informatie die moet worden gecorrigeerd, geen verdere zakelijke noodzaak om de gegevens te verwerken binnen de grenzen van de gegeven toestemming, of mogelijk onrechtmatige verwerkingsactiviteiten.
- Artikel 20 – Recht op overdraagbaarheid van gegevens: Dit artikel benadrukt het recht van betrokkenen om hun informatie door organisaties naar derden te laten overdragen, zolang dit haalbaar is.
- Artikel 21 – Recht van bezwaar: Bepaalt de mogelijkheid van betrokkenen om bezwaar te maken tegen het gebruik of de verwerking van hun gegevens door een organisatie (behalve in contexten die het algemeen belang dienen).
- Artikel 28 – Verwerker: Dit artikel beschrijft de specifieke wettelijke en technische vereisten waaraan elke organisatie die gebruikersinformatie verwerkt moet voldoen. Dit omvat het verzamelen en documenteren van toestemming, het uitsluitend gebruiken van gegevens voor expliciet vermelde doeleinden en het niet verkopen van consumenteninformatie aan derden zonder toestemming van de gebruiker.
Er zijn daarnaast kleinere subsecties die specifieke zaken beschrijven die een organisatie moet implementeren. Denk aan het aanstellen en behouden van een Functionaris voor gegevensprivacy (DPO) volgens de regelgeving, het geven van duidelijke disclaimers bij toestemmingsformulieren en de verplichting om datalekken zo snel mogelijk te melden bij de bevoegde autoriteiten.
Wat zijn de technische vereisten van de GDPR
- Verwerkers van persoonsgegevens moeten zorgen voor passende beveiliging van persoonsgegevens, waaronder waar nodig encryptie van persoonsgegevens.
- Organisaties moeten ervoor zorgen dat persoonsgegevens alleen worden verwerkt wanneer en voor zover nodig, en in overeenstemming met het recht van de betrokkene op inzage, rectificatie en verwijdering.
- Organisaties moeten betrokkenen duidelijke en beknopte informatie verstrekken over de verwerking van hun persoonsgegevens.
- Organisaties moeten een register bijhouden van alle verwerkingsactiviteiten van persoonsgegevens die door hen worden uitgevoerd.
- Organisaties moeten vooraf toestemming verkrijgen van betrokkenen voor elke verwerking van hun persoonsgegevens.
- Organisaties moeten een Functionaris voor gegevensprivacy (DPO) aanstellen om de implementatie en naleving van GDPR-regelgeving te monitoren.
- Organisaties moeten regelmatig een Data Protection Impact Assessment (DPIA) uitvoeren om potentiële risico’s voor gegevensbescherming te identificeren en te beperken.
- Organisaties moeten betrokkenen het recht geven om bezwaar te maken tegen verwerking, recht op overdraagbaarheid van gegevens en het recht om vergeten te worden.
- Organisaties moeten relevante autoriteiten binnen 72 uur op de hoogte stellen van datalekken.
- Organisaties moeten voldoen aan de principes van privacy by design en privacy by default.
Hoe beïnvloedt GDPR Amerikaanse bedrijven (beste practices voor GDPR-naleving)?
Normaal gesproken zou een nalevingskader voor EU-landen geen invloed hebben op bedrijven in de Verenigde Staten. Nu steeds meer zaken digitaal en online plaatsvinden, is het echter bijna onmogelijk om zaken in de EU te vermijden, tenzij u uw bedrijf daar specifiek van uitsluit.
Er zijn enkele veranderingen die Amerikaanse bedrijven kunnen verwachten:
- Audit alle EU-gegevens: Allereerst moet u inzicht krijgen in hoeveel van uw informatie afkomstig is van betrokkenen in de EU, hoe u die informatie verwerkt voor zakelijke of marketingdoeleinden en of die gegevens verband houden met daadwerkelijke bedrijfsactiviteiten (goederen en diensten) voor die consumenten. Dit geeft u inzicht in uw verplichtingen.
- Toestemming verkrijgen voor alle marketingactiviteiten: Als uw website e-mails of andere informatie van wereldwijde gebruikers verzamelt, kunnen EU-gebruikers daar ook onder vallen. Daarom voegen veel bedrijven expliciete toestemmingsformulieren toe aan landingspagina’s waar e-mails van gebruikers kunnen worden gebruikt voor zakelijke of marketingdoeleinden. Deze bevatten uitgebreidere disclaimers en duidelijke selectievakjes die de specifieke doeleinden van de verzamelde informatie aangeven.
- Toestemming voor tracking cookies: U heeft waarschijnlijk meer opvallende banners gezien op nieuws- en retailwebsites waarin, in lange passages, om toestemming wordt gevraagd voor het plaatsen van cookies. GDPR beschouwt het gebruik van cookies om accounts of surfgedrag te beheren als een vorm van gegevensverzameling, en daarom moeten alle bedrijven voldoen aan GDPR als ze cookies van EU-consumenten verzamelen.
- Beoordeel relaties met leveranciers: Als externe dienstverleners informatie van een organisatie beheren, bent u deels verantwoordelijk voor het controleren van hoe informatie uit de EU als onderdeel van uw activiteiten wordt gebruikt.
- Bereid u voor op een datalek: Volgens de EU-wetgeving moeten organisaties snel reageren op datalekken. Terwijl de Amerikaanse regelgeving meer tijd biedt voor rapportages, krijgen organisaties onder EU-wetgeving slechts 72 uur.
- Stel een DPO aan: Als een organisatie geen Functionaris voor gegevensprivacy heeft en aanzienlijke zaken doet in de EU, neem er dan een aan. Dit helpt niet alleen om aan de regelgeving te voldoen, maar kan ook de nalevingsinspanningen voor GDPR in goede banen leiden.
- Begrijp internationale wetten voor gegevensoverdracht: GDPR bevat regels over het overdragen van consumenteninformatie over landsgrenzen heen, en het niet naleven hiervan kan veel tijd en geld kosten. Inzicht in deze wetten is ook cruciaal als een organisatie technologieën als beheerde bestandsoverdracht (MFT) of SSH file transfer protocol (SFTP) gebruikt voor EU-zaken. De Verenigde Staten en de Europese Unie hebben een framework, het Privacy Shield Framework, om deze overdrachten te vergemakkelijken.
Wat zijn de sancties bij niet-naleving van GDPR?
Het lijkt misschien een grote opgave om EU-regelgeving te begrijpen, maar het is noodzakelijk. Onlangs hebben internationale bedrijven als Google, Facebook en Apple meerdere rechtszaken gekregen vanwege het niet naleven van de EU-wetgeving.
Het belangrijkste aspect van naleving en sancties onder GDPR is dat de boetes proportioneel zijn aan de daadwerkelijke inkomsten van het bedrijf. In plaats van een vast bedrag of een vaste bandbreedte voor boetes, gebruikt GDPR een percentage van de bedrijfsomzet om de boete te berekenen.
GDPR hanteert twee verschillende niveaus voor boetes:
- Niveau 1 richt zich op minder ernstige overtredingen van de GDPR-wetgeving, zoals schendingen van regels rond certificeringen en autorisaties, het behouden van een wettelijke basis voor bedrijfsverwerking en, indien van toepassing, het bieden of ontvangen van monitoringdiensten die transparant en onpartijdig zijn. De organisatie moet in dit niveau eerlijk blijven in haar naleving, basisnormen voor verwerking handhaven en alleen eerlijke monitoring aanbieden of gebruiken. De boetes zijn hier maximaal 10 miljoen euro of 2% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is.
- Niveau 2 is voor ernstigere overtredingen, waaronder onrechtmatige gegevensverwerking; het niet verkrijgen van toestemming; het niet geven van duidelijke informatie om toestemming te krijgen; het niet naleven van consumentenrechten op verwijdering, inzage of andere rechten; en illegale overdrachten naar andere landen. De boetes zijn hier maximaal 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is.
Het doel van deze boetes is om elk bedrijf—vooral wereldwijde bedrijven met miljarden aan activa—te ontmoedigen om de wet naar eigen inzicht te overtreden.
Meer weten over GDPR-naleving?
GDPR is het heden en de toekomst van cyberbeveiliging en consumentenrechten. Hoewel het een specifiek EU-regelgevingspakket is, maakt de steeds globalere aard van digitale handel het moeilijk te negeren. Bovendien is het waarschijnlijk dat we vroeg of laat de standaarden uit GDPR in andere landen zullen zien terugkomen. Zelfs nu neemt de California Consumer Privacy Act (CCPA) al enkele aspecten van GDPR over in haar formulering.
Werken met GDPR-naleving vereist een sterke technische basis die beveiliging, compliance en logging kan verenigen om te voldoen aan toestemmings- en privacywetgeving. Wilt u meer weten over GDPR-naleving bij het delen van gevoelige content? Lees onze artikelen in het Kiteworks-archief.