GDPR

In mei 2018 wordt de Europese General Data Protection Regulation (GDPR) van kracht. In Nederland wordt dit de Algemene Verordening Gegevensbescherming (AVG) genoemd. De Wet bescherming persoonsgegevens (Wbp) is dan niet meer van toepassing. Op dit moment hebben de lidstaten nog hun eigen nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995. Vanaf 25 mei 2018 geldt dezelfde privacywetgeving in de gehele EU. Iedereen die persoonsgegevens verzamelt en verwerkt door middel van een website, CRM of interne database is verplicht om aan de nieuwe verordeningen te voldoen.

Wat doet de GDPR?

  • Versterking en uitbreiding van privacyrechten
  • Meer verantwoordelijkheden voor organisaties
  • Dezelfde bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen

Impact op SSL

Door de invoering van de GDPR wordt het gebruik van https verplicht, als je persoonsgegevens verzamelt via online webformulieren. Dit zorgt ervoor dat het internetverkeer tussen bezoekers van je website en je servers niet kan worden onderschept. Als je geen HTTPS gebruikt is de beveiliging van persoonsgegevens die worden verstuurd niet gegarandeerd. Gebruik van een SSL Certificaat is onderdeel van de maatregelen om te voldoen aan deze verordening. Elk type SSL certificaat is geschikt om hier aan te voldoen.

Welke stappen neem ik om te voldoen aan de GDPR?

Bewustwording

Zorg ervoor dat bijvoorbeeld beleidsmakers binnen de organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact is op de huidige processen, diensten en goederen en welke aanpassingen er binnen de organisatie nodig zijn, om te voldoen aan de GDPR. De implementatie van de GDPR kan tijdrovend zijn, begin daarom op tijd. De Autoriteit Persoonsgegevens (AP) biedt instrumenten om te helpen bij het naleven van de regels van de GDPR.

Stap 2: Rechten van betrokkenen

Onder de GDPR krijgen de mensen van wie je de persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg ervoor dat zij hun privacyrechten goed kunnen uitoefenen. Men kan bij de AP een klacht indienen over de wijze waarop je met persoonsgegevens omgaat. De AP is verplicht deze klachten te behandelen.

Stap 3: Overzicht verwerkingen

Breng je gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet. Inventariseer ook waar deze gegevens vandaan komen en met wie je ze deelt. Onder de GDPR heb je een verantwoordingsplicht. Dit betekent dat je als organisatie moet kunnen aantonen dat je in overeenstemming met de GDPR handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Je kunt dit register ook nodig hebben, als betrokkenen hun privacyrechten uitoefenen. Zij kunnen vragen hun gegevens te corrigeren of te verwijderen. Je moet dit ten alle tijde doorgeven aan de instanties waarmee je deze gegevens hebt gedeeld.

Stap 4: Data Protection Impact Assessment

Onder de GDPR kun je verplicht worden een Data Protection Impact Assessment uit te voeren (DPIA). Dit is een instrument om van te voren de privacyrisico's van een gegevensverwerking in kaart te brengen. Verder is het vervolgens belangrijk om maatregelen te kunnen nemen die de risico's verkleinen. Je kunt verplicht worden een DPIA uit te voeren als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Je kunt nu alvast inschatten of je in de toekomst DPIA's moet uitvoeren en hoe je dit gaat aanpakken. Komt uit een DPIA naar voren dat je gegevensverwerking een hoog privacyrisico met zich meebrengt en kun je geen maatregelen nemen om dit risico te verkleinen? In dit geval kun je contact opnemen met de AP. De AP beoordeelt of de gegevensverwerking in strijd is met de GDPR. Indien dit het geval is, kun je een schriftelijk advies van de AP ontvangen.

Stap 5: Privacy by design and privacy by default

Maak je organisatie al vertrouwd met de onder de GDPR geldende uitgangspunten van privacy by design and privacy by default en kijk hoe je deze kunt implementeren binnen je organisatie. Privacy by design wil zeggen dat je al bij het ontwerpen van producten en diensten rekening houdt met de bescherming van persoonsgegevens. Maar ook dat je niet méér gegevens verzameld dan nodig voor de verwerking en dat je de gegevens niet langer dan nodig bewaart. Privacy by default wil zeggen dat je technische en organisatorische maatregelen neemt om ervoor te zorgen dat je alléén persoonsgegevens verwerkt voor het specifieke doel dat je wilt bereiken.

Stap 6: Functionaris voor de gegevensbescherming

Onder de GDPR kunnen organisaties verplicht worden om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal of dit voor jouw organisatie nodig is. Wacht vervolgens niet te lang met het aanstellen van een FG. Uiteraard mag de organisatie ook vrijwillig een FG aanstellen.

Stap 7: Meldplicht datalekken

De meldplicht datalekken blijft onder de GDPR nagenoeg hetzelfde. De GDPR stelt wel strengere eisen aan de registratie binnen jouw organisatie over datalekken die zich binnen jouw organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Hiermee kan de AP controleren of je aan de meldplicht hebt voldaan.

Stap 8: Verwerkersovereenkomsten

Het kan zijn dat je, jouw gegevensverwerking hebt uitbesteed aan een verwerker? Het is belangrijk om te beoordelen of de door jouw overeengekomen maatregelen in bestaande contracten nog steeds toereikend zijn. En of deze voldoen aan de eisen die de GDPR aan verwerkersovereenkomsten stelt.

Stap 9: Leidende toezichthouder

Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Of hebben jouw gegevensverwerkingen impact in meerdere lidstaten? Onder de GDPR heb je maar met één privacytoezichthouder te maken. Dit is de leidende toezichthouder.

Stap 10: Toestemming

Voor een aantal vormen van gegevensverwerking heb je toestemming nodig van de betrokkenen. De GDPR stelt strengere eisen aan het verlenen van toestemming. Het is belangrijk om te evalueren hoe je toestemming vraagt, krijgt en registreert. Pas de wijze indien nodig aan. Onder de GDPR moet je kunnen aantonen dat je toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Mensen moeten hun toestemming net zo makkelijk kunnen intrekken als geven.

Onderstaand tref je een aantal termen die naar aanleiding van bovenstaande informatie nog wat extra uitleg behoeven.

Wat is een persoonsgegeven

Een persoonsgegeven is een gegeven aan de hand waarvan een persoon kan worden geïdentificeerd. Voorbeelden hiervan zijn o.a.: naam- en adresgegevens, e-mailadressen, pasfoto's, vingerafdrukken, IP-adressen. Ook gegevens die een waardering over een persoon geven, zoals iemands IQ, zijn persoonsgegevens.

Wat zijn bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Dergelijke gegevens mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt.

Wat is een register met verwerkingsactiviteiten?

Dit register bevat informatie over de persoonsgegevens die je verwerkt. Je mag zelf weten hoe je het register opstelt. De GDPR schrijft wel voor welke informatie je als verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens daar om vraagt, moet je het register direct kunnen laten zien. Stelt jouw organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast? Dan is jouw organisatie de verwerkingsverantwoordelijke. De wet schrijft voor dat deze de volgende informatie in het register moet opnemen:

  • De naam en contactgegevens van jouw organisatie of de vertegenwoordigers van eventuele andere organisaties met wie je gezamenlijk de doelen en middelen van de verwerking hebt vastgesteld.
  • De Functionaris voor de Gegevensbescherming als je die hebt aangesteld
  • Eventuele andere internationale organisaties waar je de persoonsgegevens mee deelt
  • De doelen waarvoor je de persoonsgegevens verwerkt
  • Beschrijving van de categorieën van personen van wie je de gegevens verwerkt
  • Beschrijving van de categorieën van persoonsgegevens
  • De categorieën van ontvangers aan wie je persoonsgegevens verstrekt
  • Een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen

Hoe kan ik aantonen dat ik toestemming heb ontvangen?

Verwerk je persoonsgegevens die gebaseerd zijn op toestemming van de betrokken personen? Dan moet je onder de General Data Protection Regulation (GDPR) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat je die toestemming daadwerkelijk hebt. Dat maakt onderdeel uit van de verantwoordingsplicht die je onder de GDPR hebt. Twee van de eisen die de GDPR stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat je kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen. Vraag je online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kun je de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kun je combineren met documentatie over het proces waarin je hebt vastgelegd op welke manier je toestemming ontvangt en vastlegt, een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming. Verwijzen naar automatische registratie van toestemming door jouw website is onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk. Ten slotte moet je ervoor zorgen dat je voldoende data hebt waarmee je een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, je mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.

Wat moet er volgens de GDPR in het gegevensbeschermingsbeleid staan?

In de General Data Protection Regulation (GDPR) staat niet precies omschreven wat je in jouw gegevensbeschermingsbeleid (ook wel privacybeleid genoemd) moet opnemen. Uit het beleid moet in ieder geval wèl blijken hoe je voldoet aan de GDPR. Dat is onderdeel van je verantwoordingsplicht. Je kunt laten zien hoe je voldoet aan de GDPR door onder andere deze informatie op te nemen:

  • Een omschrijving van de categorieën persoonsgegevens die je verwerkt
  • Een beschrijving van de doeleinden waarvoor je persoonsgegevens verwerkt en wat de juridische grondslag daarvan is
  • Hoe je voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk
  • Welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens
  • Welke organisatorische en technische maatregelen je genomen hebt om de persoonsgegevens te beveiligen
  • Hoe lang je de persoonsgegevens bewaart

Conclusie

De beveiliging van websites wordt steeds belangrijker. Vanaf eind mei 2018 wordt het verplicht om je website te beveiligen met een SSL certificaat, indien je door middel van webformulieren persoonsgegevens verzamelt. De vraag naar goedkope, maar ook duurdere (organisatie en uitgebreide) validatie certificaten zal toenemen. De concurrentie zal hierdoor groter worden. Het door en door kennen van de markt door middel van o.a. concurrentie analyses en andere marktonderzoeken wordt hierdoor nog belangrijker.

De juridische informatie op deze website is informatief en dient om een indruk te geven van de juridische problematiek. Aan de inhoud kunnen geen rechten worden ontleend.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.