Hoewel de GDPR in 2018 al van kracht ging, toch krijgen we nog vaak de vraag wat GDPR precies inhoudt. Daarom vertellen we in deze blogpost kort en bondig (en in mensentaal) uit wat GDPR is.
Wat is de GDPR?
De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is een geheel van regels om de gegevens van Europese burgers beter te beschermen. De wetgeving werd op het eind 2015 goedgekeurd, en bestaat uit twee delen: de Regulation, die van toepassing is op de bedrijfswereld, en de Directive, voor overheidsdiensten zoals politie en justitie. Beiden traden ze in mei 2018 officieel in werking.
Waarom veranderde de Europese wetgeving rond databescherming?
De GDPR is in feite het resultaat van een herziening van de Europese wetgeving uit 1995; de Data Protection Directive. Elke lidstaat interpreteert deze wetgeving op een andere manier, wat uiteindelijk leidt tot fragmentatie en onduidelijkheid. Daarnaast heeft de wetgeving nood aan modernisering om ontwikkelingen zoals de cloud en sociale media – en de enorme hoeveelheden data die daarmee gepaard gaan – het hoofd te bieden.
Wat betekent de GDPR voor bedrijven?
Vanaf 25 mei 2018 moeten bedrijven die persoonsgegevens verzamelen, volledig voldoen aan de nieuwe set regels van de GDPR. Met persoonsgegevens wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden: een naam, adres, telefoonnummer, e-mailadres, foto, en vele andere factoren.
De voornaamste vernieuwingen in de GDPR draaien rond vier pijlers:
- Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.
- Data-overdracht: Burgers kunnen hun gegevens overdragen van de ene dienstverlener naar de andere. Bijvoorbeeld om van verzekeringsmakelaar te wisselen.
- Recht om vergeten te worden: Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden. Ook als de data inmiddels gedeeld is met derde partijen.
- Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.
Om die regels na te leven, moeten bedrijven exact weten waar ze persoonsgegevens verzamelen, en hoe deze beschermd en verwerkt worden. Daarom raden we bepaalde bedrijven aan om een data protection officer aan te nemen. Iemand die instaat voor de handhaving van de GDPR binnen het bedrijf.
Wat zijn de voordelen?
De GDPR kan rekenen op heel wat kritiek, maar uiteindelijk zijn er ook voordelen aan verbonden. De eenmaking van een versnipperd legaal raamwerk bijvoorbeeld. Dankzij de uiteenlopende interpretatie van de vorige wetgeving, moesten bedrijven voorheen rekening houden met 28 verschillende raamwerken rond databescherming. GDPR zorgt dus voor één legaal kader dat in heel Europa geldt. Zo is het gemakkelijker voor kmo’s om de activiteiten in het buitenland uit te breiden, aangezien ze geen rekening moeten houden met een andere wetgeving.
Bovendien kan de GDPR bedrijven op die manier collectief zo’n 2,3 miljard euro per jaar kunnen besparen. Geld dat normaal naar advocaten en consultants zou gaan om wijs te geraken uit de verschillende wetgevingen.
Wat gebeurt er bij het niet-naleven van de GDPR?
Bedrijven die aan de GDPR verzuimen, kunnen zware repercussies verwachten. Zo maken ze in de GDPR gewag van verschillende boetes. Wanneer de verzamelde data niet correct wordt beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet, met een maximum van 20 miljoen euro.
Wist je dat …
… al onze websites volledig compliant en GDPR-conform zijn? Neem eens een kijkje tussen onze demo-websites of contacteer ons voor meer info.
Bron: Techpulse
