Netherlands

Loading

General Data Protection Regulation - FAQ

Veelgestelde vragen over de GDPR



Wat is het verschil tussen de Europese Privacy Verordening, de algemene verordening gegevensbescherming (AVG) en de General Data Protection Regulation (GDPR)?
Er is geen verschil. Het zijn drie verschillende benamingen voor dezelfde Europese privacywetgeving. Wij gebruiken in de FAQ’s de eerste benaming.
Vanaf wanneer geldt de Europese Privacy Verordening?
De Europese Privacy Verordening is vanaf 25 mei 2018 van toepassing. Uw organisatie heeft dus nog een jaar om zich goed voor te bereiden. Tot die tijd geldt in Nederland nog steeds de Wet bescherming persoonsgegevens. Een jaar lijkt veel, maar u moet eigenlijk al de eerste stappen gezet hebben. Lees hier meer.
Moet ik nu al starten met de voorbereiding voor de Europese Privacy Verordening?
Ja. De ingangsdatum lijkt ver weg, maar er is een aantal belangrijke en tijdrovende stappen.
Wat gaat er veranderen ten opzichte van de huidige situatie?
Als de Europese Privacy Verordening van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de verordening meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability). Er komt daarom onder andere een documentatieplicht. Dit houdt in dat uw organisatie met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de Europese privacywetgeving te voldoen.
Wat zijn de belangrijkste wijzigingen per 25 mei 2018?
Per 25 mei 2018, als de Europese Privacy Verordening van toepassing is, verandert er onder meer het volgende voor uw organisatie:
Hoe kan ik starten met voldoen aan de Europese privacywetgeving?
Om u te helpen bij uw keuzes en de stappen, hebben wij een brochure en een stappenplan opgesteld. Hierin vindt u alles over de Europese Privacy Verordening en vertellen wij concreet welke acties u moet gaan ondernemen. Hier vindt u beide documenten.
Wanneer bent u verplicht een Privacy Impact Assessment (PIA) uit te voeren?
Zodra de Europese Privacy Verordening van toepassing is, bent u verplicht om een Privacy Impact Assessment (PIA) uit te voeren als u:
  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Hierdoor krijgt u inzicht in wat de risico’s zijn en kunt u passende maatregelen nemen om deze te verkleinen. Een PIA wordt ook wel data protection impact assessment (DPIA) of een gegevensbeschermings-effectbeoordeling genoemd.

Tip: Niet alleen vanuit de regelgeving is het goed om een PIA uit te voeren. Het juist (laten) uitvoeren van een PIA kan veel inzicht bieden in de risico’s die u loopt en helpen deze weg te nemen. Daarnaast kunt aan uw medewerkers, klanten en andere stakeholders laten zien dat u op een juiste manier omgaat met cyberrisico’s.
Welke extra rechten krijgen de mensen van wie u de persoonsgegevens verwerkt?
Door de Europese Privacy Verordening krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun Europese privacyrechten worden namelijk versterkt en uitgebreid. In deze Europese privacywetgeving staat hoe u geldige toestemming krijgt van mensen om hun persoonsgegevens te verwerken. Daarnaast moet het voor die mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Naast versterking van de bestaande rechten krijgen mensen door de Europese Privacy Verordening een aantal aanvullende rechten. Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. o Straks kunnen zij daarnaast van de organisatie eisen dat zij de verwijdering doorgeven aan alle andere derde partijen die deze gegevens hebben ontvangen.

Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van uw organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat uw organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener.
Heeft de Europese Privacy Verordening ook voordelen voor mijn organisatie?
Hoewel we de implicaties van de nieuwe regelgeving en de administratieve last niet moeten onderschatten, zitten er ook voordelen aan. Als de Europese Privacy Verordening van toepassing is, hoeft u zich nog maar aan één Europese wet te houden als u persoonsgegevens verwerkt. Indien u in meerdere EU-lidstaten actief bent, levert de Europese privacywetgeving u het volgende op:
  • u heeft minder administratieve kosten en nalevingskosten;
  • u heeft meer rechtszekerheid;
  • er is een gelijk speelveld (level playing field), want alle regels zijn hetzelfde voor alle bedrijven in de EU;
  • u hoeft nog maar met één toezichthouder zaken te doen (onestopshop).
Moet ik mijn gegevensverwerkingen straks nog melden bij de Autoriteit Persoonsgegevens?
Nee. Zodra de Europese Privacy Verordening van toepassing is (25 mei 2018), hoeft u uw gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens (AP). U heeft vanaf deze datum wél een documentatieplicht. Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de Europese privacywetgeving te voldoen (accountability).
Wat gebeurt er met de meldplicht datalekken?
Uw gegevensverwerkingen melden bij de AP is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet. Zodra de Europese Privacy Verordening van toepassing is, moet u dus nog steeds datalekken melden bij de AP.
Wanneer moet ik straks een functionaris voor de gegevensbescherming aanstellen?
Zodra de Europese Privacy Verordening van toepassing is, bent u verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen als uw organisatie:
  • een overheidsinstantie is (behalve rechtbanken bij het uitvoeren van hun rechtsprekende taak);
  • op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is, zoals bij zorgverleners;
  • op grote schaal mensen volgt (bijvoorbeeld bij profilering) en dit een kernactiviteit van de organisatie is.
Tip: In veel eisen vanuit de Europese privacywetgeving zit een grijs gebied. Maak daarom een goede afweging van de te nemen maatregelen en zet deze ook op papier.
Wat zijn vrijwillige en gezamenlijke functionarissen voor de gegevensbescherming?
Valt uw organisatie niet in een van deze categorieën? Dan mag u uiteraard ook vrijwillig een FG aanstellen. Let op: voor een vrijwillige FG gelden dezelfde regels als voor de verplichte FG.

De Autoriteit Persoonsgegevens zal samen met de andere Europese privacytoezichthouders uitleg geven over de voorwaarden en vereisten van de FG. U mag ook met een groep organisaties een gezamenlijke FG aanstellen. Voorwaarde is dat deze goed bereikbaar is vanuit alle vestigingen.
In de Europese Privacy Verordening wordt gesproken over een verplichting tot privacy by design en privacy by default. Wat betekent dit?
De verplichting tot privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor moeten zorgen dat persoonsgegevens worden beschermd.
De verplichting tot privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:
  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Gaan de boetes omhoog?
Ja, de boetes worden verhoogd ten opzichte van de meldplicht datalekken die in 2016 van kracht is geworden. De huidige boete heeft een maximum van EUR 820.000. Per 25 mei 2018 kunnen de boetes oplopen tot:
  • 10 miljoen of 2% wereldwijde omzet voor deel overtredingen;
  • 20 miljoen of 4% wereldwijde omzet voor grootste deel.
Er zijn behalve deze boetes ook aanvullende (financiële) gevolgen waarmee u rekening moet houden, te weten wanneer:
  • de consument u aansprakelijk stelt;
  • de consument in eigen land gaat procederen over schade.
Kan een cyberverzekering mij helpen tegen de gevolgen van een datalek?
Uiteraard is voorkomen altijd beter dan genezen. Maar als er toch iets gebeurt, is het zeer goed om een cyberverzekering af te hebben gesloten. Deze biedt namelijk onder andere dekking voor:
  • aansprakelijkheid: schadevergoeding en juridische bijstand in geval van aanspraken van derden als gevolg van verlies van persoonsgegevens en/of bedrijfsinformatie;
  • crisismanagement: kosten (forensisch) onderzoek, PR, klant notificatiekosten, kredietbewaking, IT-diensten, cyberincident responsediensten;
  • boetes: kosten voor onderzoek door een toezichthouder, juridische bijstand, bestuurlijke boetes;
  • digitale media, Schadevergoeding en kosten van verweer in verband met aanspraken van derden tegen u die voortvloeien uit uw multimedia-activiteiten. Bijvoorbeeld smaad en laster of plagiaat;
  • cyber- / privacyafpersing, waaronder ransomware;
  • hacking telefooncentrale, vergoeding van de belkosten;
  • netwerkonderbreking, gederfde netto winst in verband met netwerkonderbreking.
Tip: Een cyberverzekering kan naast alle andere ondersteuning ook grote hulp bieden op juridisch gebied. U kunt namelijk altijd terecht bij het team van juristen om navraag te doen of er sprake is van een datalek en of dit datalek aan de Autoriteit en de betrokkenen gemeld moet worden.
Wie binnen mijn organisatie moet betrokken zijn op het Europese privacywetgeving-dossier?
We zien dat veel bedrijven dit dossier neerleggen bij ICT en/of Legal. Dit is echter een te beperkte groep. Onze ervaring leert dat bijvoorbeeld marketing- en HR-afdelingen heel anders naar cyberrisico’s en mogelijke datalekken kijken en daardoor ook andere risicobeperkende maatregelen instellen. Vaak zonder overleg met Legal en ICT. Zo kan het gebeuren dat werk wordt uitbesteed aan (bijvoorbeeld) een partij in India zonder dat anderen binnen de organisatie dit weten, en data van Nederlandse burgers terecht komen in India. Terwijl dit wettelijk verboden is. Eigenlijk moet dus iedereen worden aangehaakt op het Europese privacywetgeving-dossier.