Met 7 maanden te gaan voor GDPR compliance is het tijd voor actie

18 oktober 2017 Consultancy.nl

Op vrijdag 25 mei 2018 treedt de nieuwe Europese General Data Protection Resolution (GDPR) in werking. Ondanks het feit dat de Europese privacywet al op 14 april 2016 werd aangenomen, lijken veel organisaties nog niet klaar voor de nieuwe wetgeving. Met nog zo’n zeven maanden te gaan, is het nu echter de hoogste tijd voor actie, stellen Pieter van Stempvoort en Jeroen Elferink van Enigma Consulting. 

De GDPR beschermt natuurlijke personen binnen de Europese Unie bij de verwerking van hun persoonsgegevens. Vandaag de dag vindt die voor een aanzienlijk deel over grenzen heen plaats. Ook maken technologische ontwikkelingen het verzamelen en delen van persoonsgegevens steeds makkelijker. Daarmee is het voor personen en organisaties minder transparant wat er met deze gegevens gebeurt. De nieuwe wet speelt op deze situatie in en vervangt de nationale regelgeving in de EU-lidstaten op dit gebied. Zo vervangt de GDPR in Nederland de Wet bescherming persoonsgegevens (Wbp), onder de naam Algemene Verordening Gegevensbescherming (AVG). 

De GDPR beoogt een ‘level playing field’ te creëren op het gebied van bescherming van persoonsgegevens. Naast de rechten van natuurlijke personen als eigenaar van persoonsgegevens regelt de GDPR onder meer de verplichtingen van de verwerkingsverantwoordelijken en verwerkers van persoonsgegevens en het toezicht en de handhaving op landelijk en Europees niveau.

Wat wijzigt er?

De regels uit de Europese Privacy Richtlijn, de voorloper van de GDPR waarop onder meer de Wbp is gebaseerd, zijn grotendeels opgenomen in de GDPR. Sommige regels zijn echter flink aangescherpt en er zijn verschillende regels bijgekomen. Zo is er bijvoorbeeld onderscheid gemaakt tussen regels voor de verantwoordelijke voor de verwerking van persoonsgegevens en de eigenlijke verwerker. Daarnaast is de territoriale werkingssfeer van de wet ruimer gesteld dan in de nationale privacywetgeving. We lichten een aantal van deze elementen nader toe. 

Speelveld van de GDPR

Werkingssfeer

Nieuw is dat ook in de EU gevestigde derde partijen die persoonsgegevens namens verwerkingsverantwoordelijken verwerken aan de wet gebonden zijn. Het maakt daarbij niet uit of de verwerking binnen of buiten de EU plaatsvindt. Daarnaast vallen in sommige gevallen zelfs niet in de EU gevestigde partijen onder de wet, met name organisaties die persoonsgegevens verwerken in verband met producten of diensten die ze in de EU aanbieden of organisaties die het gedrag van personen binnen de EU monitoren. 

Aangescherpte rechten van betrokkenen

Veel van de rechten die natuurlijke personen nu al hebben op het gebied van bescherming van hun persoonsgegevens komen in een meer gedetailleerde vorm terug in de GDPR. Denk bijvoorbeeld aan het recht van inzage, het recht op correctie van persoonsgegevens en het recht van verzet. 

De wet legt ook een aantal nieuwe rechten vast, zoals het recht “om vergeten te worden” en het recht op “data portabiliteit”. Vooral deze nieuwe rechten kunnen een behoorlijke impact hebben op organisaties die veel persoonsgegevens uitwisselen met andere partijen, of in een sector opereren waar portabiliteit een standaard praktijk is. 

Verplichtingen voor verwerkingsverantwoordelijken en verwerkers

In tegenstelling tot de Wbp definieert de GDPR aparte verplichtingen voor verwerkingsverantwoordelijken en verwerkers, of deze nu wel of niet deel uitmaken van dezelfde organisatie. Tussen deze partijen moet er een bewerkingsovereenkomst zijn waarin de verplichtingen van de verwerker conform de eisen uit de GDPR zijn beschreven. Beide partijen moeten een register bijhouden van hun verwerkingsactiviteiten van persoonsgegevens. Maar uiteindelijk is de verwerkingsverantwoordelijke verantwoordelijk voor de keuze van een verwerker die aan alle gestelde eisen voldoet en moet deze kunnen aantonen dat aan de regels is voldaan.

Organisaties moeten uiteraard de in de GDPR vastgelegde rechten van betrokkenen ondersteunen, zodat die hun rechten kunnen uitoefenen. De wet geeft hiervoor verschillende aanwijzingen, onder meer in situaties waarin persoonsgegevens in digitale vorm beschikbaar zijn.

Processen en systemen moeten daarbij ontworpen zijn vanuit principes van ‘privacy by design’ en ‘privacy by default’ (zie kader). En alle betrokken partijen moeten passende maatregelen treffen om een beveiligingsniveau van persoonsgegevens te waarborgen dat is afgestemd op de mogelijke inbreukrisico’s. Eventuele datalekken moeten als vanouds aan de toezichthoudende autoriteit en onder voorwaarden aan de betrokkenen worden gemeld.

Tot slot dienen organisaties onder in de wet omschreven voorwaarden privacy assessments uit te voeren en een data protection officer aan te stellen.Privacy by design en Privacy by default

Keuzes maken

Gezien de relatief korte periode die er nog resteert tot de datum waarop de GDPR in werking treedt, is het van belang om zo snel mogelijk tot actie over te gaan. Het is zeker niet zo dat, als een organisatie voldoet aan de Wbp, het wel mee zal vallen met de impact van de nieuwe regels. 

Het startpunt ligt bij de vaststelling of het verwerken van persoonsgegevens wel of niet onder de GDPR valt. Moet een organisatie nu al voldoen aan de Wbp, dan is er geen twijfel mogelijk. Echter, omdat de werkingssfeer ruimer is dan voorheen, kunnen bijvoorbeeld organisaties buiten de EU nu ineens ook aan Europese privacywetgeving gebonden zijn. 

Vervolgens is een grondige analyse nodig van het doel en de wijze waarop persoonsgegevens worden verwerkt, wie hiervoor verantwoordelijk is, waar en hoe de eigenlijke verwerking ervan plaatsvindt en met welke andere partijen deze worden uitgewisseld. Met deze analyse kan zo al een eerste invulling worden gegeven aan het eerdergenoemde register van verwerkingsactiviteiten. 

In praktische zin zullen er vervolgens prioriteiten moeten worden gesteld en keuzes worden gemaakt, zodat tenminste aan de belangrijkste voorwaarden uit de nieuwe wetgeving wordt voldaan. Het helpt daarbij om tijdens de analyse vast te stellen in hoeverre er is voldaan aan de Wbp, zodat op basis van een verschillenanalyse met de nieuwe regels efficiënt kan worden vastgesteld waar de pijnpunten liggen. 

Niet voldoen aan de verplichtingen uit de GDPR is echter geen optie; zelfs het stellen van prioriteiten en maken van keuzes brengt een zeker risico met zich mee. De boetes die in geval van non-compliance kunnen worden opgelegd zijn immers aanzienlijk en kunnen oplopen tot 2% van de jaaromzet met een maximum van €10 miljoen. Kortom, het is nu de hoogste tijd voor actie. 

Pieter van Stempvoort is senior consultant bij Enigma Consulting, Jeroen Elferink is associate consultant bij het adviesbureau.

Nieuws

Meer nieuws over