GDPR: tijd voor actie!

Vrijdag 25 mei 2018 is het zover. Op deze datum treedt de nieuwe Europese General Data Protection Resolution (GDPR) in werking.

Door Pieter van Stempvoort & Jeroen Elferink

Deze Europese privacywet werd al op 14 april 2016 aangenomen en op 24 mei dat jaar officieel van kracht. Je zou dus denken dat organisaties ruim de tijd hebben gehad om hun processen en systemen aan de nieuwe wet te toetsen en waar nodig aanpassingen door te voeren. Toch lijken niet alle organisaties al met de invoering bezig te zijn. Met nog zo’n 7 maanden te gaan, is het nu echter de hoogste tijd voor actie.

Speelveld
De GDPR beschermt natuurlijke personen binnen de Europese Unie bij de verwerking van hun persoonsgegevens. Vandaag de dag vindt die voor een aanzienlijk deel over grenzen heen plaats. Ook maken technologische ontwikkelingen het verzamelen en delen van persoonsgegevens steeds makkelijker. Daarmee is het voor personen en organisaties minder transparant wat er met deze gegevens gebeurt. De nieuwe wet speelt op deze situatie in en vervangt de nationale regelgeving in de EU-lidstaten op dit gebied. Zo vervangt de GDPR in Nederland de Wet bescherming persoonsgegevens (Wbp), onder de naam Algemene Verordening Gegevensbescherming (AVG). 

De GDPR beoogt een level playing field te creëren op het gebied van bescherming van persoonsgegevens. Naast de rechten van natuurlijke personen als eigenaar van persoonsgegevens regelt de GDPR onder meer de verplichtingen van de verwerkingsverantwoordelijken en verwerkers van persoonsgegevens en het toezicht en de handhaving op landelijk en Europees niveau. 

Wat wijzigt er? 
De regels uit de Europese Privacy Richtlijn, de voorloper van de GDPR waarop onder meer de Wbp is gebaseerd, zijn grotendeels opgenomen in de GDPR. Sommige regels zijn echter flink aangescherpt en er zijn verschillende regels bijgekomen. Zo is er bijvoorbeeld onderscheid gemaakt tussen regels voor de verantwoordelijke voor de verwerking van persoonsgegevens en de eigenlijke verwerker. Daarnaast is de territoriale werkingssfeer van de wet ruimer gesteld dan in de nationale privacywetgeving. We lichten een aantal van deze elementen nader toe.

Werkingssfeer
Nieuw is dat ook in de EU gevestigde derde partijen die persoonsgegevens namens verwerkingsverantwoordelijken verwerken aan de wet gebonden zijn. Het maakt daarbij niet uit of de verwerking binnen of buiten de EU plaatsvindt. Daarnaast vallen in sommige gevallen zelfs niet in de EU gevestigde partijen onder de wet, met name organisaties die  persoonsgegevens verwerken in verband met producten of diensten die ze in de EU aanbieden of organisaties die het gedrag van personen binnen de EU monitoren.

Aangescherpte rechten van betrokkenen
Veel van de rechten die natuurlijke personen nu al hebben op het gebied van bescherming van hun persoonsgegevens komen in een meer gedetailleerde vorm terug in de GDPR. Denk bijvoorbeeld aan het recht van inzage, het recht op correctie van persoonsgegevens en het recht van verzet. 

De wet legt ook een aantal nieuwe rechten vast, zoals het recht “om vergeten te worden” en het recht op “data portabiliteit”. Vooral deze nieuwe rechten kunnen een behoorlijke impact hebben op organisaties die veel persoonsgegevens uitwisselen met andere partijen, of in een sector opereren waar portabiliteit een standaard praktijk is. 

Verplichtingen voor verwerkingsverantwoordelijken en verwerkers
In tegenstelling tot de Wbp definieert de GDPR aparte verplichtingen voor verwerkingsverantwoordelijken en verwerkers, of deze nu wel of niet deel uitmaken van dezelfde organisatie. Tussen deze partijen moet er een bewerkingsovereenkomst zijn waarin de verplichtingen van de verwerker conform de eisen uit de GDPR zijn beschreven. Beide partijen moeten een register bijhouden van hun verwerkingsactiviteiten van persoonsgegevens. Maar uiteindelijk is de verwerkingsverantwoordelijke verantwoordelijk voor de keuze van een verwerker die aan alle gestelde eisen voldoet en moet deze kunnen aantonen dat aan de regels is voldaan.

Organisaties moeten uiteraard de in de GDPR vastgelegde rechten van betrokkenen ondersteunen, zodat die hun rechten kunnen uitoefenen. De wet geeft hiervoor verschillende aanwijzingen, onder meer in situaties waarin persoonsgegevens in digitale vorm beschikbaar zijn. 

Processen en systemen moeten daarbij ontworpen zijn van uit principes van privacy by design en privacy by default (zie kader). En alle betrokken partijen moeten passende maatregelen treffen om een beveiligingsniveau van persoonsgegevens te waarborgen dat is afgestemd op de mogelijke inbreukrisico’s. Eventuele datalekken moeten als vanouds aan de toezichthoudende autoriteit en onder voorwaarden aan de betrokkenen worden gemeld. Tot slot dienen organisaties onder in de wet omschreven voorwaarden privacy assessments uit te voeren en een data protection officer aan te stellen.     

Keuzes maken 
Gezien de relatief korte periode die er nog resteert tot de datum waarop de GDPR in werking treedt, is het van belang om zo snel mogelijk tot actie over te gaan. Het is zeker niet zo dat, als een organisatie voldoet aan de Wbp, het wel mee zal vallen met de impact van de nieuwe regels.
Het startpunt ligt bij de vaststelling of het verwerken van persoonsgegevens wel of niet onder de GDPR valt. Moet een organisatie nu al voldoen aan de Wbp, dan is er geen twijfel mogelijk. Echter, omdat de werkingssfeer ruimer is dan voorheen, kunnen bijvoorbeeld organisaties buiten de EU nu ineens ook aan Europese privacywetgeving gebonden zijn. 
Vervolgens is een grondige analyse nodig van het doel en de wijze waarop persoonsgegevens worden verwerkt, wie hiervoor verantwoordelijk is, waar en hoe de eigenlijke verwerking ervan plaatsvindt en met welke andere partijen deze worden uitgewisseld. Met deze analyse kan zo al een eerste invulling worden gegeven aan het eerdergenoemde register van verwerkingsactiviteiten.

In praktische zin zullen er vervolgens prioriteiten moeten worden gesteld en keuzes gemaakt, zodat tenminste aan de belangrijkste voorwaarden uit de nieuwe wetgeving wordt voldaan. Het helpt daarbij om tijdens de analyse vast te stellen in hoeverre er is voldaan aan de Wbp, zodat op basis van een verschillenanalyse met de nieuwe regels efficiënt kan worden vastgesteld waar de pijnpunten liggen.

Niet voldoen aan de verplichtingen uit de GDPR is echter geen optie; zelfs het stellen van prioriteiten en maken van keuzes brengt een zeker risico met zich mee. De boetes die in geval van non compliance kunnen worden opgelegd zijn immers aanzienlijk en kunnen oplopen tot 2 procent van de jaaromzet met een maximum van 10 miljoen euro. Dus mocht u nog niet afdoende hebben onderzocht in hoeverre de GDPR uw organisatie raakt, dan is het nu de hoogste tijd voor actie.

Auteurs: 
Pieter van Stempvoort, senior consultant Enigma Consulting 
Jeroen Elferink, associate consultant Enigma Consulting 

Gerelateerde artikelen