Algemene voorschriften voor gegevensbescherming (GDPR)
De algemene voorschriften voor gegevensbescherming ( kortweg " GDPR ") zijn de laatste tijd veel in het nieuws geweest. Maar wat zijn de nieuwe regels en hoe beïnvloeden deze uw bedrijf?
De achtergrond
In 1995 heeft de Europese Commissie de gegevensbeschermingsrichtlijn gepubliceerd. Dit vereiste dat alle EU-lidstaten hun eigen gegevensbeschermingswetgeving moesten implementeren om ervoor te zorgen dat de persoonlijke gegevens van hun burgers op passende wijze werden beschermd, en om ervoor te zorgen dat burgers specifieke rechten kregen om te weten welke gegevens door derden aan hen werden bewaard en om te kunnen eisen dat die gegevens waar nodig worden gecorrigeerd of verwijderd.
In de daaropvolgende jaren bleek echter uit de snelle ontwikkeling van sociale media, smartphones en de voortdurende evolutie van het internet dat de bestaande wettelijke bescherming niet toereikend was. Dientengevolge heeft de Europese Commissie een nieuwe verordening voorgesteld - de Algemene Verordening Gegevensbescherming. In tegenstelling tot de vorige richtlijn inzake gegevensbescherming die individuele EU-leden toestond de regels op hun eigen manier uit te voeren, moesten de GDPR-verordeningen worden geïmplementeerd als één EU-brede verordening op één datum: 25 mei 2018.
Een van de belangrijkste doelstellingen van GDPR was het bestaande gegevensbeschermingsregime in Europa uit te breiden om ervoor te zorgen dat alle EU-burgers hetzelfde beschermingsniveau hadden, ongeacht of hun gegevens werden verwerkt of verwerkt door een EU-onderneming of een niet-EU-onderneming. De commissie verklaarde dat het hun doel was ervoor te zorgen dat alle burgers een standaardpakket van "digitale rechten" hadden in een tijd waarin persoonlijke gegevens steeds belangrijker werden voor de digitale economie van de toekomst.
Waarom is GDPR belangrijk?
GDPR is belangrijk voor alle bedrijven vanwege zowel de brede reikwijdte van de verordeningen, maar ook vanwege de aanzienlijke boetes voor niet-naleving. In het geval van ernstige inbreuken kunnen boetes de hoogste van 20 miljoen euro of 4% van de wereldwijde omzet bereiken .
GDPR breidt ook de reikwijdte van potentiële aansprakelijkheid uit voor elke schending van gegevens. Eerder was er een onderscheid tussen gegevens "controllers" die feitelijk eigenaar waren van gegevens en gegevens "processors" die door de controller waren gecontracteerd om iets met die gegevens te doen. De eerste kan aansprakelijk zijn voor verlies of misbruik van persoonlijke gegevens, maar niet voor de laatste. Onder GDPR zijn echter zowel de controller als de processor hoofdelijk aansprakelijk. Dit betekent dat een of beide partijen kunnen worden opgeroepen door getroffen personen of een boete krijgen van toezichthouders.
Aangezien veel bedrijven in de technologiesector waarschijnlijk processors zijn, betekent dit dat deze bedrijven onder GDPR nu een potentiële aansprakelijkheid hebben die ze voorheen niet hadden!
Wat heeft GDPR eigenlijk nodig?
GDPR bevat een aantal verplichtingen voor iedereen die gegevens controleert of verwerkt. Dit is niet bedoeld als een uitputtende gids, maar de basisvereisten zijn als volgt:
- Weet welke gegevens u beheert en waar u deze vandaan haalt
- Voor alle gegevens die u beheert of verwerkt, zorgt u ervoor dat u dit op "legale basis" doet (dit wordt later uitgelegd)
- Neem gepaste maatregelen om alle gegevens die u beheert of verwerkt te beschermen en eventuele risico's voor die gegevens na te bootsen
- Wanneer u de verwerking van gegevens die u beheert, uitbesteedt, moet u ervoor zorgen dat de processor aan vergelijkbare beveiligingsnormen werkt
- Waar u "persoonlijke" of "gevoelige" gegevens bewaart, moet u aanvullende stappen ondernemen om de bescherming van die gegevens te waarborgen. Persoonlijke gegevens worden op grote schaal getrokken - zelfs een e-mailadres of een IP-adres kan worden beschouwd als persoonlijke gegevens!
- Wanneer een persoon daarom verzoekt, moet u snel en in een geschikte, machinaal leesbare vorm ("dataportabiliteit") een kopie van alle gegevens die u erover in bewaart, aanleveren
- Wanneer een individu u verzoekt om dit te doen, moet u alle gegevens verwijderen die u over hen hebt (het "recht om te worden vergeten")
"Wettelijke basis"
"Lawful Basis" is een van de belangrijkste onderdelen van GDPR. In wezen vereist het dat alle gegevens die worden verzameld of verwerkt op wettige wijze moeten worden gedaan. Als er geen wettelijke basis is, kunnen de gegevens niet worden verzameld of verwerkt en moeten ze worden vernietigd.
Er zijn een aantal verschillende scenario's die als legale basis gelden:
- Waar de gebruiker expliciet heeft ingestemd met uw verzameling en verwerking van hun gegevens. Dit is de meest gebruikelijke wettige basis en is ook een vrij gemakkelijke om te bevredigen. U moet de gebruiker duidelijk en ondubbelzinnig vertellen welke gegevens u gaat verzamelen en waarom u dit doet. U moet de gebruiker vervolgens de kans geven om zich aan te melden voor deze verzameling (let op dit moet opt-in zijn en niet opt-out)
- Waar u gegevens moet verzamelen om een contract te kunnen uitvoeren. Dit is waarschijnlijk ook een gebruikelijke wettige basis en is bedoeld om het verzamelen en verwerken van gegevens mogelijk te maken voor veel voorkomende situaties, zoals een online winkel die goederen of diensten verkoopt. In deze situatie is de klant een contract aangegaan door goederen of diensten te kopen, dus het zou legitiem zijn om facturerings- en verzendinformatie te verzamelen en door te geven aan een creditcardverwerker, omdat dit nodig is om dat contract daadwerkelijk uit te voeren. Het gebruik van deze gegevens voor een ander doel (zoals marketing) zou echter geen wettige basis zijn, omdat het niet nodig zou zijn om aan het contract te voldoen.
- Waar vereist door de wet. Er kunnen situaties zijn waarin gegevens moeten worden verzameld en verwerkt omdat dit wettelijk verplicht is. Een goed voorbeeld is dat banken en financiële instellingen vaak wettelijk verplicht zijn om bepaalde records tot 6 jaar te bewaren
- Waar is een vitale interesse. Het is onwaarschijnlijk dat deze legale basis in de bedrijfswereld zal worden aangetroffen, omdat deze bedoeld is voor noodsituaties in leven of dood en betrekking heeft op de verwerking van gegevens door instellingen zoals de nooddiensten
- Waar nodig voor een publieke taak. Het is ook onwaarschijnlijk dat dit wordt aangetroffen, omdat het bedoeld is om overheidsdiensten of andere officiële instanties in staat te stellen gegevens te verzamelen en te verwerken om hun werk te doen. Voorbeelden kunnen advocatenkantoren zijn die gegevens moeten verzamelen en verwerken om een dienst te verlenen zoals naar de rechter stappen
- Eindelijk is er 'legitiem belang'. Dit is opzettelijk opgesteld om vrij vaag te zijn, maar zorgt in essentie voor het verzamelen en verwerken van gegevens, daar is er een doorslaggevend legitiem belang bij. Een goed voorbeeld zou zijn als een persoon heeft gevraagd geen marketingmails van een bedrijf te ontvangen, dan zou er een legitiem belang zijn om het e-mailadres van die persoon te behouden om ervoor te zorgen dat marketing-e-mails niet naar die persoon worden verzonden, in plaats van de gegevens van die persoon volledig te verwijderen en dus riskeren ze per ongeluk in de toekomst te e-mailen. Er is echter een hoge lat voor legitiem belang - het moet in het doorslaggevende belang van het individu zijn en niet alleen omdat het voor het bedrijf gunstig is
Het is ook vermeldenswaard dat wanneer de gegevens die worden verzameld of verwerkt 'gevoelig' zijn (eigenlijk alles wat te maken heeft met ras, religie, seksuele voorkeur, politieke overtuiging, medische dossiers of lidmaatschap van de vakbond), dan is er een veel strenger aantal wettelijke basisvereisten van toepassing - in principe kunt u dergelijke gegevens alleen verzamelen of verwerken wanneer er expliciete toestemming van de gebruiker is, in het overweldigende publieke belang is of wettelijk verplicht is.
Hoe zit het met Reincubate?
Raadpleeg ons privacybeleid voor meer informatie over de rechten en verplichtingen van Reincubate onder GDPR.