GDPR

De nieuwe Europese privacywet GDPR

De nieuwe Europese privacywet GDPR

Op 25 mei 2018 treedt de nieuwe Europese privacywet in werking, de General Data Protection Regulation (GDPR). Een groot voordeel van deze nieuwe wet is dat er in de gehele Europese Unie nog maar één privacywet geldt, in plaats van 28 verschillende nationale wetten.

Het implementeren van deze nieuwe wetgeving heeft impact op de manier waarop we zaken doen. Het zal wat extra werk opleveren. Maar het biedt ook kansen om je positief te onderscheiden van je concurrenten!

Enkele kansen dat de nieuwe wetgeving biedt:

  • Meer inzicht en efficiency door het bekijken en optimaliseren van je bedrijfsprocessen.
  • Betere bescherming van je gegevens tegen problemen die volgen op een datalek of ransomware.
  • Betere bescherming van vertrouwelijke gegevens van bijvoorbeeld klanten en medewerkers. Hierdoor behoudt je je reputatie!
  • Onderscheid je van je concurrent door je beveiliging beter op orde te hebben, conform de GDPR.
  • Voorkom torenhoge boetes van de Autoriteit Persoonsgegevens (AP) door te voldoen aan de eisen van de GDPR.

De Autoriteit Persoonsgegeven heeft een 10-stappenplan opgesteld zodat je je goed kunt voorbereiden op de nieuwe privacywet:

  1. Bewustwording: zorg ervoor dat de relevante mensen de juiste kennis hebben en maatregelen kunnen nemen omtrent de nieuwe wetgeving.
  2. Rechten van betrokkenen: onder de nieuwe wet krijgen mensen van wie je persoonsgegevens verwerkt het recht op inzage, correctie en verwijdering van deze gegevens.
  3. Overzicht verwerkingen: middels de verantwoordingsplicht wordt voorgeschreven dat je documenteert welke persoonsgegevens je verwerkt en waarom je dit doet, waar ze vandaan komen en met wie je ze hebt gedeeld. Dit documenteer je in een verwerkingsregister.
  4. Data Protection Impact Assesment (DPIA): bij persoonsgegevens met een hoog privacy risico kun je verplicht zijn om een DPIA uit te voeren. Hiermee kun je vooraf bepalen wat de risico’s zijn en passende maatregelen nemen.
  5. Privacy by Design & Privacy by Default: dit houdt in dat je al vanaf het ontwerp tot aan de technische en organisatorisch specificaties van een product of dienst rekening houdt met de bescherming van de persoonsgegevens. Zorg ervoor dat je alléén die persoonsgegevens verwerkt die noodzakelijk zijn voor een specifiek doel.
  6. Functionaris voor de gegevensbescherming (FG): een FG is een interne privacy toezichthouder voor toepassing en naleving van de GDPR. Het kan zijn dat je verplicht ben om een FG aan te stellen, controleer dit dus!
  7. Meldplicht datalekken: de meldplicht die sinds 1 januari 2016 geldt blijft merendeels hetzelfde. Wel worden de registratie eisen strenger. Alle datalekken dienen te worden gedocumenteerd, zodat de AP kan controleren of je aan deze meldplicht voldoet.
  8. Verwerkersovereenkomsten: heb je je gegevensverwerking uitbesteed, dan dien je te evalueren of de maatregelen die je in het contract met deze verwerker hebt afgesproken voldoen aan de GDPR.
  9. Leidende toezichthouder: bij het verwerken van gegevens die invloed hebben op meerdere EU-landen, hoeft maar één privacy toezichthouder verantwoording af te leggen (de leidende toezichthouder). Zorg wel dat je weet onder welke privacy toezichthouder je bedrijf valt!
  10. Toestemming: de toestemming van degene van wie je gegevens verzamelt moet in overeenstemming zijn met de GDPR. Je dient de toestemming aan te kunnen tonen en degene zal eenvoudig zijn toestemming weer moeten kunnen intrekken.

Om als klant van Exact te kunnen voldoen aan de GDPR bieden we in onze software verschillende mogelijkheden om volgens de nieuwe regelgeving met persoonsgegevens om te gaan. Daarnaast ontwikkelen we tools die klanten kunnen helpen te voldoen aan verplichtingen rondom de GDPR. Let op! Het voldoen aan geldende wetgeving is, en blijft, de verantwoordelijkheid van jou en je organisatie.

Wil je meer informatie over de GDPR?