Omdat er veel aandacht is voor de invoering van GDPR waarmee data privacy binnen de gehele EU met ingang van 25 mei 2018 wordt gereguleerd hebben we de praktische gevolgen van deze wetgeving op rij gezet. Liever persoonlijk advies? Neem dan contact met ons op.

Centrale wetgeving

De GDPR regelgeving is binnen de gehele EU van toepassing en zal in nederland waarschijnlijk door de
Autoriteit Persoonsgegevens worden ingevuld. Deze handhaaft momenteel op de WBP

Doel bepalen

Voor alle persoonsgegevens die worden verwerkt is het van belang dat er een gebruiksdoel is vastgesteld. Het
is niet toegestaan om de gegevens voor een ander doel te gebruiken dan waarvoor toestemming is gevraagd.
Het is bij het vaststellen van het verwerkingsdoel van belang dat hierbij uitgegaan word van een zo minimaal
mogelijke set data.

Rechten van data subjects

Met de komst van GDPR hebben de personen waarop de opgeslagen data betrekking heeft een uitgebreide set
rechten:

  • Er is een doel bepaald voor het verwerken van de data
  • Er is een aantoonbare toestemming voor het verwerken van de data
  • In het geval van minderjarige is er een aantoonbare toestemming van de ouder/voogd
  • Er is de mogelijkheid om vergeten te worden
  • Er is de mogelijkheid om een leesbaar formaat van de data te verkrijgen
  • Er is de mogelijkheid om gegevens in te zien zonder tussenkomst van de verwerkende organisatie
  • Er is de mogelijkheid om data te laten overdragen in het geval van bijvoorbeeld opzegging
  • Informatievoorziening rondom de verzamelde persoonsgegevens is transparant en duidelijk

Melden van datalekken

Het melden van datalekken is in Nederlands reeds verplicht na de invoering van de wet meldplicht datalekken.
De strekking is dat een datalek zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de
ontdekking van het lek wordt gemeld bij de daarvoor aangewezen autoriteit.

Privacy Impact Assesment (PIA)

Om aantoonbaar invulling te geven aan de zorgplicht die rust op de verwerking van persoonsgegevens moeten
beveiligingsrisico’s per proces waar sprake is van een verhoogde kans op een datalek worden vastgesteld. Per
geïdentificeerd risico moeten maatregelen zijn aangewezen waarmee risico’s tot een aanvaardbaar niveau
worden terug gedrongen.

Privacy by design & default

Er moet aantoonbaar zijn dat er bij design van nieuwe processen (ook bijvoorbeeld software en
analysetechnieken) en in de standaard inrichting rekening is gehouden met een minimalisatie van de
hoeveelheid verwerkte persoonsgegevens. In de PIA is het daarom van belang dat er zo goed mogelijk wordt
vastgesteld of de gebruikte set van gegevens wel strikt noodzakelijk is.
De voorkeur is dat buiten de productie omgeving om zoveel mogelijk word gewerkt met gepseudonimiseerde
data ofwel gemaskeerde gegevens.

Sancties

De maximale sanctie is vastgesteld op 4% van de wereldwijde omzet of 20 miljoen euro.