Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Nieuwe Europese privacy wetgeving, wat betekent dat voor

advertisement 
NieuweEuropeseprivacywetgeving,watbetekentdatvooruworganisatie?
TerwijlveelorganisatiesdrukbezigzijnomintespelenopdenieuweWetMeldplichtDatalakken,
staatdevolgendegroteveranderingalweervoordedeur.Uiterlijkbegin2018wordtEuropese
privacywetgevingvankrachtdiedeNederlandsewetgevingvervangt.
Ineeneerderartikelhebbenwijuitgebreidstilgestaanbijdehuidigeprivacywetgeving.Inditartikel
volstaanwijdaarommeteenkortesamenvattingvandeWetbeschermingpersoonsgegevens(Wbp),
waarnawemeerindetailingaanopdeEuropesewetgeving.
Huidigeprivacywetgeving(samenvatting)
DeWbpgeeftinNederlandhetkadervoorhetgebruikvanpersoonsgegevens.Eenpersoonsgegeven
iselkgegevendatdirectofindirectherleidbaarisnaareennatuurlijkpersoon.
Voordeverwerkingvanpersoonsgegevensgeldt:
-
jemagzealleenvastleggenalszestriktnoodzakelijkzijnvoordeuitvoeringvandedienstof
overeenkomst,
persoonsgegevensmagjenietgebruikenvooranderedoelendanwaarjezeinitieelvoor
hebtgekregen,
bijzonderepersoonsgegevensmogenüberhauptnietwordenvastgelegd(behalvein
uitzonderlijkeindewetomschrevensituaties),
gebruikvanpersoonsgegevensinniet-productieomgevingen(bijvoorbeeldtest-,analyse-of
demo-omgevingen)isniettoegestaan.
Nietnalevingvandezeregelsbetekentdateenorganisatiezichnietaandewethoudtenstrafbaaris.
Demaximalesanctiebijeenovertredingbedraagt820.000euro(ofinuitzonderlijkegevallen10%
vandejaaromzet).Daarnaastkunnenbestuurderspersoonlijkaansprakelijkwordengesteld.
DeWetMeldplichtDatalekkeniseenintegraalonderdeelvandeWbp.Hierinwordenaanvullende
voorwaardengesteldaanhetomgaanmeteendatalek.Desanctiesvooreendatalekzijnverdergelijk
aandenormalesanctiesdiekunnenwordenopgelegdvanuitdeWbp.
NieuweEuropeseprivacywetgeving
Najarenlangeonderhandelingenisop14april2016denieuweEuropeseprivacywetaangenomen.In
dezeGeneralDataProtectionRegulation(GDPR),isvastgelegdwelkeregelsvanaf2018binnende
heleEUgaangeldenophetgebiedvanprivacy.DeGDPRvervangtnationalewetgevingengeldtvoor
alleorganisatiesdiepersoonsgegevensverwerken.
ErisalveelgeschrevenoverdeGDPR,maarinditartikelproberenweeenhelderesamenvattingte
gevenvandebelangrijksteonderdelenvandezewetgeving,metnamevanuitontwikkel-en
testperspectief.DelidstatengaandekomendetweejaardeGDPRimplementerenineigenland.In
dietijdkaneropdetailsnogietsveranderen,maarhetalgemenebeeldstaatvast.Debelangrijkste
puntenuitdeGDPRzijn:
Centraleregels,lokalehandhaving
DeGDPRgeefteencentralesetregelsweerdievooralleorganisatiesindegeheleEUgelijkzijn.Alle
organisatiesdieactiefzijnbinnendeEUmoetenzichaandezelfderegelsgaanhouden.Opnationaal
niveauwordtvervolgenseenlokaletoezichthouderaangestelddietoezietopdenalevingvande
GDPRbinnenhetspecifiekeland.DezezogenaamdeDataProtectionAuthority(DPA)vervangtde
huidigetoezichthouderenzorgtookvoordeverantwoordingrichtingEU.InNederlandligthetvoor
dehanddatdeAutoriteitPersoonsgegevens(nunogverantwoordelijkvoordehandhavingvande
Wbp)dezerolgaatvervullen.
Doelbinding
Ermoetteallentijdeeenduidelijkdoeltengrondslagliggenaandevastleggingvan
persoonsgegevens.Debewijslasthiervoorligtvolledigbijdeorganisatiediedepersoonsgegevens
verwerkt.Metanderewoorden,alsorganisatiemoetjeuitkunnenleggenwaaromjebepaalde
persoonsgegevensnodighebt.Indiendezeuitlegonvoldoendeis,ofzelfsvolledigontbreekt,dan
mogendegegevensnietwordenvastgelegd.
Sterkernog,toestemmingvoorverwerkingvanpersoonsgegevensisaltijdcontextgebonden:
gegevensdiejevoordeleveringvaneenbepaaldproductofdienstnodighebt(enduslegitiem
vastlegt),magjenietgebruikenvoordeleveringvanandereproductenofdiensten.
Bovendienhebbenconsumentenhetrechtomopelkwillekeurigmomenthuntoestemmingomhun
gegevensteverwerkenintetrekken.Alsorganisatiehebjedandeplichtomditdirectenzichtbaar
uittevoeren.
Wijverwachtendatveelorganisatiesalsreactiehieropkritischbijzichzelfteradezullengaanwelke
gegevenszijechtnodighebben.Immers,alsjegegevensvastlegtdiejenietzoumogenvastleggen
omdathetdoelontbreekt,danovertreedjedaarmeedewet.Bovendiendienjezorgtedragenvoor
eenmogelijkheidvoorconsumentenomdiegegevenstekunnenverwijderen.
DataPortability
Eenconsumentheefthetrechtopinzageindegegevensdieelektronischvanhemzijnvastgelegd.Hij
moetdezegegevenskunnenopvragenzonderafhankelijktezijnvandeorganisatiediezijngegevens
heeftvastgelegd.Watditindepraktijkwaarschijnlijkgaatbetekenenisdatorganisatiesklanteneen
actueelinzichtmoetengaangeveninallevastgelegdepersoonsgegevensviabijvoorbeeldhet
klantenportaal.
Consumentenhebbendaarnaasthetrechthungegevens‘doortelatengeven’vandeeneorganisatie
naardeandere.SteldateenconsumentzijnenergiecontractopzegtbijleverancierAenoverwil
stappennaarleverancierB,danisleverancierAverplichtervoortezorgendatallepersoonsgegevens
wordenovergedragen.
Datalek
Binnen72uurnadateendatalekheeftplaatsgevonden(eendatalekiselkesituatiewaarbij
persoonsgegevenszijnverwerktzonderdatereengeldigeredenaantengrondslaglag!),dientde
organisatiediehiervoorverantwoordelijkiseenmeldingtemakenbijdeDPA.Diebepaaltdaarnade
impact:hoeveelconsumentenervarendeconsequentiesvanhetdatalek?Alledatalekkendienen
bijgehoudentewordenineenopenbaarregister.
MetdeWetMeldplichtDatalekkenheeftNederlandalvasteenvoorschotgenomenopdeze
verplichting.
DataProtectionImpactAssesment
Vooralleprocessenwaarbijgroterisico’sklevenaandeverwerkingvandepersoonsgegevens(soort
gegevens,verhoogdekansopeendataleketcetera),dienteenorganisatieeenDataProtection
ImpactAssessment(DPIA)uittevoeren.InditDPIAmoetonderanderestaanomwelkproceshet
gaat,welkerisico’seraanditproceskleven,waaromdepersoonsgegevensopdezemanierworden
verwerktenwelkemitigerendemaatregelengetroffenzijn.
HetDPIAlijktvooraltedienenomorganisatiestedwingenactiefinvullingtegevenaanhun
zorgplicht.Zijgevenvoorafaanwelkeprocessenalsrisicovolgezienwordenenwatzijgaandoenom
dekansteminimaliserendatdezerisico’szichinderdaadvoordoen.
DataProtectionbyDesignandbyDefault
Elkeorganisatiemoetzichtbaarmakendatzijzowelbijhetdesign(nieuwesoftware,nieuwedataanalysetechniekenetcetera)maarookbijdestandaardinrichting(welkepersoonsgegevensworden
opgevraagd),hetminimaliserenvanhetgebruikvanpersoonsgegevenscentraalgesteldheeft.Dit
moetbovendienwordenaangetoondineenDPIA.Ditproportionaliteitsprincipeheeftgroteimpact
optesten:deeisdatdegebruiktesetaangegevensaansluitbijhetdoeldatwordtgediend,betekent
feitelijkdatpertestsoortmoetwordengekekenwelkedatastriktnoodzakelijkis.
DataProtectionOfficers
Grotereorganisaties(nietMKB),wordenverplichteenDataProtectionOfficeraantestellen.Hij/zijis
verantwoordelijkvoorhettoezienopeenjuistenalevingvandeGDPRdoordeorganisatie.
Sancties
Desanctiesgaanforsomhoog,onderdeWbpkandeAPorganisatieseenboeteopleggenvan
maximaal820.000euro.OnderdeGDPRgaatditbedragomhoognaar4%vandewereldwijdeomzet
of20miljoeneuro(dehoogstesanctiegeldt).
Gepseudonimiseerdedata
IndeGDPRwordthetconcept‘gepseudonimiseerdedata’geïntroduceerdalsvoorkeursoplossing
voorhetgebruikvanpersoonsgegevensbuitendeproductieomgeving.Metgepseudonimiseerde
datawordtdatabedoelddiezobewerktisdatzenietmeerherleidbaarisnaareenuniekindividu.
Hetslimmaskerenvanpersoonsgegevensiseenvoorbeeldvangepseudonimiseerdedata.
Samenvatting
Deafgelopenperiodeisdewetgevingophetgebiedvanprivacyalforsaangescherpt,maarmetde
aanstaandeinvoeringvandeGDPRwordthetopnieuwstrenger.Vanorganisatieswordtverwacht
datzijzichtbaarmakendatzijzorgvuldigomgaanmetpersoonsgegevens.Zomoetenorganisaties
latenziendat:
-
zijslechtsdeabsoluutminimalesetaanpersoonsgegevensvastleggen;
ereenduidelijkdoeltengrondslagligtaandeverwerktepersoonsgegevens;
consumententeallentijdeinzichthebbenindevanhenvastgelegdegegevens;
erondubbelzinnigetoestemmingisvandebetrokkenconsumentomdegegevenste
verwerken;
dezetoestemmingopelkmomentingetrokkenkanworden;
erbijvoorkeurgetestwordtmetgepseudonimiseerde(gemaskeerde)data;
deomvangvandegebruiktetestsetaansluitbijhetbeoogdedoel.
HetnietnalevenvandeGDPRkanwordenbestraftmeteensanctievan4%vandewereldwijde
omzetof20miljoeneuro(dehoogstesanctiegeldt).
OnzeverwachtingisdatdeGDPRvoorveelorganisatiesaanleidingzalzijnnogeenskritischtekijken
naarhoezijnuomgaanmetpersoonsgegevens.Hoewordtsoftwarebijvoorbeeldontworpenen
getest?Maskeerjebijvoorbeelddepersoonsgegevensengebruikjeeenapartesubsetaantestdata
pertestsoort?Dezevragenwordensteedsrelevanternaarmatehetjaar2018dichterbijkomt.
Related documents
Information Ethics
Information Ethics
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Modelbrief uitoefening recht van verzet
Modelbrief uitoefening recht van verzet
Privacy- en cookiebeleid Witte
Privacy- en cookiebeleid Witte
European Commission
European Commission
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
Inschrijfformulier GC Rotterdam Noord Erasmusstraat 164, 3035 LJ
Inschrijfformulier GC Rotterdam Noord Erasmusstraat 164, 3035 LJ
Meldplicht datalekken in werking getreden
Meldplicht datalekken in werking getreden
Betalingsvoorwaarden PSYTRAIN - Psychologiepraktijk Den Helder
Betalingsvoorwaarden PSYTRAIN - Psychologiepraktijk Den Helder
70_Fid_Privacystatement 110224
70_Fid_Privacystatement 110224
Loop voor op de concurrentie met een ISO 27001
Loop voor op de concurrentie met een ISO 27001
Download
advertisement