Welke impact gaat de GDPR hebben op bedrijven?

29 oktober 2017

Eerder bespraken we al wat de General Data Protection Regulation (GDPR) is, wanneer ze van kracht wordt en wat de gevolgen zijn van inbreuken. In dit blogartikel gaan we dieper in op de belangrijkste bepalingen van de GDPR en de impact daarvan op bedrijven.

De GDPR is een belangrijke nieuwe verordening die een impact heeft op de inspanningen rond gegevensbescherming bij bedrijven. Ze werd ingevoerd om de bestaande wetten rond gegevensbescherming mee te laten evolueren met de technologie en de sociale media. De GDPR voert strengere gegevensbeschermingsregels in en moet vanaf mei 2018 de huidige Nederlandse Wet Bescherming Persoonsgegevens vervangen. De nieuwe regels geven individuen meer controle over het gebruik van hun persoonsgegevens en leggen bedrijven hogere boetes op voor inbreuken.

Op welke bedrijven is de GDPR van toepassing?

De GDPR is van toepassing op alle verwerkingsverantwoordelijken en gegevensverwerkers: dat zijn bijna alle bedrijven in het VK en de EU. De verantwoordelijken voor de verwerking bepalen voor welke doeleinden en op welke manier gegevens worden verzameld, geordend en verwerkt; gegevensverwerkers zijn bedrijven die persoonsgegevens verwerken uit naam van de verwerkingsverantwoordelijken.

Wat zijn de gevolgen van de GDPR voor bedrijven?

Strengere verplichtingen op het vlak van gegevensbeveiliging

Een belangrijk aspect van de GDPR is het nieuwe verantwoordingsbeginsel dat wordt ingevoerd. Volgens dat beginsel moeten bedrijven voortaan meer verantwoording afleggen voor de manier waarop ze omgaan met persoonsgegevens en moeten ze ervoor zorgen dat ze hun naleving van de GDPR-vereisten kunnen aantonen. Om dat beginsel na te leven, moeten bedrijven hun gegevensbeveiligingsmaatregelen nakijken en verbeteren. Dat behelst verschillende aspecten. Zo zullen bedrijven hun gegevensstromen duidelijk in kaart moeten brengen. Dat houdt in dat de informatiestromen binnen en buiten de organisatie onder de loep moeten worden genomen, om eventuele gebreken op te sporen en de nodige waarborgen in te voeren om gegevens te beveiligen. Bedrijven moeten nagaan hoe ze gegevens beschermen en bij vaststelling van eventuele gebreken overwegen hoe ze hun processen kunnen verbeteren, bijvoorbeeld door gegevens te versleutelen. Bovendien moeten bedrijven hun gegevensverwerkings- en archiveringsregels en -processen nakijken en bedenken hoe ze het bewijs kunnen leveren van hun naleving van de GDPR-vereisten.

Gegevens moeten op rechtmatige wijze worden verwerkt

Conform de GDPR moeten bedrijven erop toezien dat ze persoonsgegevens enkel verwerken voor rechtmatige doeleinden. De GDPR is op dat vlak zeer normerend en licht een aantal gegevensverwerkingsdoeleinden toe die als rechtmatig worden beschouwd. Situaties waarin de verwerking van persoonsgegevens rechtmatig gebeurt zijn bijvoorbeeld wanneer een natuurlijk persoon zijn toestemming geeft voor de verwerking van zijn gegevens of wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst met een klant of om gerechtvaardigde belangen te behartigen. De GDPR legt strenge vereisten vast voor het verkrijgen van toestemming. De toestemming moet geldig zijn, wat wil zeggen dat de persoon actief toestemming heeft gegeven. De toestemming moet ook controleerbaar zijn: bedrijven moeten daarom bijhouden hoe en wanneer iemand toestemming heeft verleend. Gevallen waarin personen automatisch worden geacht toestemming te geven tenzij ze expliciet weigeren of een vakje uitvinken zijn niet conform de GDPR.

Meer individuele rechten

De GDPR geeft betrokkenen een hele reeks nieuwe rechten waar bedrijven van op de hoogte moeten zijn, om erop te letten dat ze ze niet schenden. Er is bijvoorbeeld het nieuwe recht op vergetelheid: het recht van een betrokkene om zijn persoonsgegevens te laten verwijderen uit de systemen van een bedrijf. Betrokkenen krijgen ook het recht op gegevensoverdraagbaarheid: dat is het recht van een persoon om zijn persoonsgegevens te kopiëren en aan een andere organisatie door te zenden.

Bepaalde rechten zullen vermoedelijk een impact hebben op bedrijven die actief zijn in marketing. Zo geeft de GDPR betrokkenen het recht om bezwaar te maken tegen de verwerking van hun gegevens voor direct-marketingdoeleinden.

Strengere meldingseisen bij inbreuken in verband met persoonsgegevens

Ook de eis dat verwerkingsverantwoordelijken inbreuken binnen 72 uur moeten melden aan de bevoegde autoriteit op het gebied van gegevensbescherming zal een impact hebben op bedrijven. In Nederland is de bevoegde autoriteit in kwestie de Autoriteit Persoonsgegevens. Mogelijk moet de verwerkingsverantwoordelijke ook de betrokkenen op wier persoonsgegevens de inbreuk is gepleegd op de hoogte brengen wanneer de inbreuk voor hen een risico inhoudt.

Strengere boetes voor inbreuken in verband met persoonsgegevens

Er worden strengere boetes ingevoerd voor inbreuken in verband met persoonsgegevens: bedrijven die een inbreuk plegen op de gegevensbeschermingsvereisten volgens de GDPR kunnen boetes opgelegd krijgen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

SD Worx wil bedrijven op het vlak van HR en payroll advies verstrekken en op de hoogte houden van het nieuws omtrent deze historische nieuwe wetgeving die een impact zal hebben op bedrijven over de hele wereld. Kijk voor meer informatie op onze GDPR-pagina.