Geschreven door Michael Michel op 24/05/2018
in Algemeen, Data, Handleidingen, Wetgeving

WAT IS GDPR?

Zorg dat u GDPR (General Data Protection Regulation) ready bent!

De Europese privacyverordening algemene verordening gegevensbescherming (AVG) gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. In het Engels heet de AVG General Data Protection Regulation (GDPR).

GDPR (of ook Algemene Verordening Gegevensbescherming – AVG genoemd) gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Als organisatie dient u vanaf mei 2018 te kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u deze data beveiligt.

GFPR in een notendop

GDPR vervangt de verouderde databeschermingsrichtlijn uit 1995. Er is besloten dat deze niet meer aansluit binnen de hedendaagse interactieve digitale wereld. Organisaties krijgen tot 25 mei 2018 de tijd om hun bedrijfsvoering met de GDPR in overeenstemming brengen. Na deze periode mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete van het niet naleven van deze regels is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt.

OMA helpt!

Wilt u zorgen dat uw website ook klaar is voor de GDPR en komt u er zelf niet uit? Wij richten hiervoor een aantal zaken aan de kant van de website in, namelijk:

  • Cookie-melding, opslag en pagina waarin de opgeslagen cookies worden omschreven
  • Het opzetten van geavanceerde en professionele formuleren met CAPTCHA
  • Afvangen van spam berichten
  • Database implementatie van de ingevoerde gebruikersgegevens zodat deze benaderbaar zijn vanuit het CMS.
  • Geavanceerd beveiligingssysteem
  • Publicatie Privacy Policy
  • SSL versleuteling
  • Beveiligingsoptimalisatie
    • Limiteren van logins vanuit externe servers
    • Detectie van aanpassingen in bestanden
    • Het vaststellen en uitsluiten van bots
    • Het bijhouden van systeem-logs
    • Handmatige en/of automatische uitsluitingen van IP adressen
    • Handmatige en/of automatische persoonsgegevens verwijderen
    • Extra beveiliging op basis van versleuteling
    • Blacklist monitoring
    • 2-factor authentication
    • IP adressen uitsluiten

Wilt u ook GDPR ready zijn?

Vul onderstaand formulier in of bel direct +31(0)20 233 9175

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Principes van de GDPR

GDPR kent een aantal principes

  • Transparantie: de persoon van wie de gegevens verwerkt worden, is hiervan op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • Gegevensbeperking: alleen de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • Juistheid: de persoonsgegevens moeten correct zijn en blijven
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

Basisbeginselen van de gegevensbescherming

De basisbeginselen zijn de kern van de gegevensbescherming. Ze bestaan al in het huidig recht maar worden in de AVG aanzienlijk versterkt. De AVG kent betrokkenen onder meer onderstaande rechten toe.

Recht op inzage

Het recht van toegang is een recht van de betrokkene. Dit geeft burgers het recht om toegang te krijgen tot hun persoonlijke gegevens en informatie over de manier waarop deze persoonsgegevens worden verwerkt. Een voor de verwerking verantwoordelijke moet op verzoek een overzicht verstrekken van de categorieën gegevens die worden verwerkt en een kopie van de feitelijke gegevens. Daarnaast moet de verantwoordelijke voor de verwerking de betrokkene informeren over de details van de verwerking, zoals wat het doel van de verwerking is , met wie de gegevens worden gedeeld en hoe de gegevens zijn verkregen.

Recht op correctie en verwijdering

Het recht om te worden vergeten werd vervangen door een beperkter recht op schrapping in de versie van de AVG die het Europees Parlement in maart 2014 heeft aangenomen. Artikel 17 bepaalt dat de betrokkene het recht heeft om op een van een aantal gronden te verzoeken om verwijdering van hem betreffende persoonsgegevens, waaronder niet-naleving van artikel 6.1 (wettigheid) die een geval (f) omvat waarin de legitieme belangen van de voor de verwerking verantwoordelijke zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen (zie ook Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

Recht op dataportabiliteit

Een persoon moet zijn persoonsgegevens van het ene elektronische verwerkingssysteem naar het andere kunnen overdragen, zonder door de verantwoordelijke voor de verwerking te worden verhinderd. Gegevens die voldoende geanonimiseerd zijn, komen niet in aanmerking, maar gegevens die alleen geanonimiseerd zijn, maar nog steeds kunnen worden gekoppeld aan de persoon in kwestie, zoals door hem of haar die de desbetreffende identificatiecode verstrekt, niet. Zowel gegevens die door de betrokkene “verstrekt” zijn, als “waargenomen” gegevens – bijvoorbeeld over hun gedrag – vallen binnen de omvang van dit recht. Bovendien moeten de gegevens door de verantwoordelijke voor de verwerking worden verstrekt in een gestructureerde en algemeen gebruikte elektronische open standaard. Het recht op gegevensportabiliteit is vastgelegd in artikel 20 van de AVG. Juridische deskundigen zien in de definitieve versie van deze maatregel een “nieuw recht” dat “verder reikt dan de portabiliteit van gegevens tussen twee voor de verwerking verantwoordelijken, zoals bepaald in artikel 18”. (Opmerking: het artikelnummer is in de definitieve versie van artikel 20 bijgewerkt. Dit citaat was op dat moment juist.)

Nieuwsbrief

Rechtmatige, behoorlijke en transparante verwerking

Dit beginsel leert ons dat de gegevens rechtmatig, behoorlijk en transparant moeten worden verwerkt ten aanzien van de betrokkene.

Overweging 30 verduidelijkt het begrip transparantie: het moet voor de individuen perfect duidelijk zijn dat hun gegevens zijn ingezameld, gebruikt, geraadpleegd of anders verwerkt. Het transparantiebeginsel vereist dat alle informatie of communicatie met betrekking tot een gegevensverwerking gemakkelijk toegankelijk is en gemakkelijk te begrijpen is.

Er moet dus gebruik gemaakt worden van duidelijke en eenvoudige taal. Dit gaat vooral over de informatie over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking. Dit gaat eveneens over de bijkomende informatie die kan verstrekt worden zodat een gerechtvaardigde en transparante verwerking verzekerd is. De individuen moeten verwittigd worden van de risico’s, de regels, garanties en rechten die verband houden met de verwerking alsook de manier om hun rechten uit te oefenen.

Dit beginsel is verbonden met artikel 6 van de verordening dat de redenen opsomt waarop een verwerking kan berusten. Dit artikel bepaalt de grondslagen waarop kan worden beoordeeld of een verwerking al dan niet rechtmatig is. U vindt meer informatie over dit artikel 6 onder het punt over de rechtmatigheid van de verwerking.

Juistheid

De gegevens moeten juist zijn en zo nodig worden bijgewerkt. Alle redelijke maatregelen moeten worden genomen om onnauwkeurige of onvolledige gegevens die – uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt – uit te wissen of te verbeteren.

Integriteit en vertrouwelijkheid

De gegevens moeten volgens een afdoend veiligheidsniveau worden verwerkt door gebruik te maken van passende, technische en organisatorische maatregelen.

Dit houdt een bescherming in tegen iedere niet toegelaten of onwettige verwerking, tegen verlies, vernietiging of kwaliteitsverlies van de gegevens.

Overweging 39 verduidelijkt dat de gegevens moeten worden verwerkt op een wijze die instaat voor afdoende veiligheid en vertrouwelijkheid van de gegevens. Dit betekent dat iedere niet toegelaten toegang of gebruik van de gegevens of uitrusting die voor de verwerking wordt aangewend, moet worden voorkomen.

Wat verandert er?

Het feit dat dat moet worden ingestaan voor de veiligheid van de verwerkingen, bestond reeds in de Richtlijn 95/46 maar werd niet vernoemd als basisbeginsel van de gegevensbescherming. We zien een wijziging in het concept gegevensbescherming, dat technischer is geworden.

Welbepaald doeleinde

Dit basisbeginsel bepaalt dat de persoonsgegevens moeten worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder mogen worden verwerkt op een manier die onverenigbaar is met die doeleinden.

De verdere verwerking van persoonsgegevens voor archiveringsdoeleinden voor openbaar belang, voor historisch of wetenschappelijk onderzoek of voor statistische doeleinden, wordt overeenkomstig artikel 89.1 van de AVG, niet beschouwd als onverenigbaar met de oorspronkelijke doeleinden.

Het doelbindingsprincipe bestaat reeds in het huidige recht.

Wat verandert er?

De AVG machtigt in artikel 6.4 de verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, maar enkel als die verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan.

Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, een verenigbaarheidsoefening uitvoeren.

Het is de bedoeling om de verwerkingsverantwoordelijke in staat te stellen om zelf te beoordelen of het hergebruik van persoonsgegevens voor andere doeleinden, al dan niet verenigbaar is.

Daartoe zal rekening moeten worden gehouden met:

  • het eventueel bestaan van een verband tussen de doeleinden waarvoor de gegevens werden verkregen en de doeleinden van de voorgenomen verdere verwerking;
  • de context waarin de persoonsgegevens werden verkregen, in het bijzonder gelet op de relatie tussen de betrokkenen en de verantwoordelijke voor de verwerking;
  • de aard van de persoonsgegevens, vooral als de verwerking slaat op bijzondere categorieën persoonsgegevens, overeenkomstig artikel 9, of als de gegevens betreffende veroordelingen en strafrechtelijke inbreuken worden verwerkt overeenkomstig artikel 10;
  • de mogelijke gevolgen van de voorgenomen, verdere verwerking voor de betrokkenen;
  • het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Wanneer echter de betrokkene zijn toestemming heeft gegeven of wanneer de verwerking gebaseerd is op Unierecht of lidstatelijk recht, mag de verwerkingsverantwoordelijke de persoonsgegevens verder verwerken, ongeacht of dat verenigbaar is met de doeleinden.

Minimale gegevensverwerking

Volgens het beginsel van de minimale gegevensverwerking moeten persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt.

Het is hier de bedoeling dat de verwerkingsverantwoordelijke uitsluitend die gegevens verwerkt die noodzakelijk zijn voor de vastgestelde doeleinden. Verwerk dus enkel het strikte minimum.

Overweging 39 brengt meer duidelijkheid: dit beginsel vereist met name dat de verwerkingsverantwoordelijke er voor instaat dat de bewaartermijn van de gegevens tot een strikt minimum beperkt wordt. De persoonsgegevens mogen maar worden verwerkt als het doeleinde van de verwerking niet op een andere manier kan worden gerealiseerd.

Dit beginsel had in de Richtlijn 95/46 niet deze naam maar het bestond wel al.

Beperkte bewaartermijn

De gegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren en niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.

De gegevens kunnen voor een langere periode worden bewaard indien ze uitsluitend worden verwerkt voor archiveringsdoeleinden voor openbaar belang, voor historisch of wetenschappelijk onderzoek of voor statistische doeleinden. Deze verwerking moet in overeenstemming zijn met artikel 89 van de AVG.

U moet dus de bewaartermijn van de gegevens die u verwerkt duidelijk vaststellen en mechanismen invoeren waarmee u kunt verifiëren of de persoonsgegevens wel degelijk ontoegankelijk geworden zijn nadat de vastgestelde bewaartermijn is afgelopen.

ONLINE MARKETING NIEUWS

De laatste online trends, tips en tricks

Nieuwsbrief

Onze nieuwsbrief

Blijf op de hoogte van de laatste trends en ontwikkelingen en profiteer van de GRATIS downloads. Ontvang onze nieuwsbrief met interessante en relevante onderwerpen die in praktijk goed toepasbaar zijn.

Onze nieuwsbrief

Blijf op de hoogte van de laatste trends en ontwikkelingen en profiteer van de GRATIS downloads.

© 2016-2019 Online Media Amsterdam B.V. | Algemene Voorwaarden | Privacyverklaring

 020 233 9175
Online Marketing Amsterdam