• Share

Nieuws voor de overheid

Forum

GDPR: meer privacybescherming voor Europese burgers

EY - GDPR: meer privacybescherming voor Europese burgers

Op 25 mei 2018 voert de Europese Unie de General Data Protection Regulation (GDPR) in en zal deze van toepassing zijn op elke verwerking van persoonsgegevens in de lidstaten. De verordening moet voor een uniforme aanpak van privacy in alle lidstaten van de Europese Unie zorgen. Publieke en overheidsorganisaties hebben twee jaar de tijd gekregen om zich voor te bereiden op de nieuwe wetgeving.

De GDPR geeft Europese burgers meer controle over wat er gebeurt met hun gegevens wanneer ze die aan organisaties overdragen. Ze moet een einde maken aan obscure invulformulieren die leiden tot spam en aan internetreclame op basis van surfgedrag zonder dat de gebruiker daartoe toestemming heeft gegeven. De nieuwe wettekst is duidelijker, explicieter en toegankelijker dan de huidige privacywetgeving. Ze geeft organisaties meer verantwoordelijkheid en aansprakelijkheid om de persoonsgegevens van burgers beter te beschermen.

Rechten en plichten

De GDPR geeft gebruikers meer rechten tegenover organisaties die hun gegevens verwerken. Zo krijgen gebruikers niet alleen het recht om de persoonsgegevens op te vragen die over hen worden bijgehouden, ze kunnen ook wijzigingen laten aanbrengen, vragen om gegevens te verwijderen of de verdere verwerking van hun gegevens volledig laten stopzetten.

Aan organisaties worden meer verplichtingen opgelegd. Vanaf nu gaan organisaties aansprakelijk gesteld worden voor de verwerking van persoonsgegevens. De wetgeving voorziet in verschillende mechanismen die moeten helpen om een conforme verwerking te waarborgen.

  • Het opstellen van een register van verwerkingsactiviteiten wordt verplicht. Organisaties moeten bijhouden welke persoonsgegevens worden verwerkt, op welke manier en waarom.
  • Wanneer de verwerking van gegevens hoge risico’s met zich meebrengt voor de rechten van personen moet een beoordeling van de impact van de verwerking uitgevoerd worden, een Data Privacy Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling.
  • Met leveranciers die gegevens voor een organisatie verwerken, moet expliciet een verwerkersovereenkomst afgesloten worden.
  • Gegevensbescherming moet in ontwerpen en standaardinstellingen opgenomen worden. Dit is het zogenaamde Privacy by Design.
  • Er komt meldplicht. Incidenten, inbreuken en datalekken moeten verplicht gemeld worden aan de Gegevensbeschermingsautoriteit.

Controle en boetes

De GDPR zal de Privacycommissie – sinds kort officieel ook de Gegevensbeschermingsautoriteit – toelaten om controles uit te voeren op organisaties. De Gegevensbeschermingsautoriteit krijgt bijvoorbeeld het recht op toegang tot data en gebouwen. Dat is een handhavingsmechanisme dat tot nu toe niet bestond.

Inbreuken op de wetgeving kunnen leiden tot enorme administratieve boetes, de stok achter de deur van de General Data Protection Regulation. De Gegevensbeschermingsautoriteit kan administratieve boetes opleggen tot twintig miljoen euro of vier procent van de totale wereldwijde omzet van een organisatie.

Data Protection Officer

De GDPR voorziet in een nieuwe functie, de functionaris voor gegevensbescherming, ook wel Data Protection Officer (DPO) genoemd. Wanneer de verwerking van persoonsgegevens door een overheidsinstantie gebeurt, is het aanstellen van een functionaris voor gegevensbescherming verplicht, net zoals nu een informatieveiligheidsconsulent moet aangesteld worden. De Data Protection Officer zal:

  • zijn organisatie informeren en adviseren over GDPR-verplichtingen
  • toezien op de naleving ervan
  • advies geven over de DPIA
  • samenwerken en contact nemen met de Gegevensbeschermingsautoriteit.

Hoe beginnen met GDPR

1. Inventariseren
Een goede eerste stap is het inventariseren van de persoonsgegevens die verwerkt worden en de doeleinden van de verwerking. Deze oefening zal resulteren in een register van verwerkingsactiviteiten en zal uw organisatie in staat stellen om te bepalen voor welke verwerkingsactiviteiten eventueel een DPIA moet uitgevoerd worden.

2. Organisatorische maatregelen
Verder moeten er organisatorische maatregelen getroffen worden, zoals het opstellen van een privacybeleid, het inrichten van de juiste rollen en verantwoordelijkheden en het bewustmaken van werknemers, zodat ze weten hoe ze moeten omgaan met de nieuwe richtlijnen. Ook moet verzekerd worden dat de juiste informatie wordt verstrekt aan gebruikers bij het verzamelen van persoonsgegevens.

3. Technische maatregelen
De grootste uitdaging ligt voor de meeste organisaties wellicht bij de technische maatregelen die getroffen moeten worden. Het is niet ondenkbaar dat IT-systemen zullen moeten worden aangepast om aan de rechten van gebruikers te kunnen beantwoorden. Niet elke IT-omgeving zal bijvoorbeeld zomaar alle informatie over één persoon tevoorschijn kunnen toveren, laat staan dat wijzigingen of verwijderingen met één klik mogelijk zijn. Het zal dus essentieel zijn om in kaart te brengen op welke systemen persoonsgegevens verwerkt worden.

4. Beveiligen
Ten slotte komen we bij het beveiligen, de uitdaging van cybersecurity, waarbij het noodzakelijk wordt om goed te begrijpen wie toegang heeft tot welke gegevens, welke (technische) maatregelen er getroffen zijn om de persoonsgegevens te beschermen en of deze voldoende zijn om de IT-omgeving te beschermen tegen inbreuken.

Organisaties die de eerste stappen naar implementatie nog niet hebben genomen, kunnen zich nu maar beter reppen, want de klok tikt genadeloos voort.

Meer informatie? Contacteer

Koen Machilsen
+32 2 774 6053

Yannick Scheelen
+32 2 774 6429