GDPR en de 6 belangrijkste eisen

U bent ongetwijfeld al een keer tegen de term ‘GDPR’ aangelopen. Waar wat is het nou precies en wat betekent het voor uw organisatie?

Het staat voor General Data Protection Regulation en wordt gezien als de belangrijkste wijziging in de bescherming van persoonsgegevens in 20 jaar. Nu al zorgt zorgt het wereldwijd voor veel commotie. Maar wat is nou het doel van GDPR? De GDPR beschermt en verleent rechten aan burgers van de Europese Unie wiens persoonsgegevens door organisaties worden afgevangen.

25 mei 2018 zal de GDPR in werking treden. Regelgevende instanties zijn dan bevoegd zijn om maatregelen te nemen tegen organisaties die GDPR-voorschriften overtreden. Dit geldt voor elke organisatie – EU en buitenland – die persoonsgegevens verwerkt van personen die in de EU verblijven. Dit begint al met een duidelijke bevestigende actie van een persoon om akkoord te gaan met de data overdracht.

Sancties

Het risico voor organisaties die niet aan de voorschriften voldoen is een boete. Dit kan oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet, afhankelijk van wat groter is. De regels gelden voor zowel de beheerders als verwerkers van deze persoonsgegevens, waarmee bijvoorbeeld cloud-omgevingen niet uitgesloten zijn.

Kortom, bijna alle organisaties moeten zich houden aan de nieuwe GDPR-eisen en gegevensrechten. Voor hen geldt, de eerste stap in het voorkomen van sancties is bekend zijn met de eisen en rechten. Daarom behandelen we de 6 onderdelen van de GDPR kort.

Belangrijkste eisen van GDPR

1. Melden van schending

Organisaties moeten eventuele datalekken melden bij de toezichthoudende autoriteit. Nog belangrijker, ook klanten/burgers moeten op de hoogte gebracht worden van datalekken die waarschijnlijk leiden tot risico voor hun. Dit moet binnen 72 uur, nadat men bewust is van de overtreding.

2. Recht op toegang

Personen hebben het recht om van organisaties te vernemen of hun persoonsgegevens zijn/worden verwerkt, waar en voor welke doel dan ook. Organisaties moeten dan kosteloos een digitaal kopie van hun persoonsgegevens verstrekken.

3. Vergeetrecht

Oftewel: dataverwijdering. Personen hebben het recht om te eisen dat een organisatie hun persoonlijke gegevens verwijdert. Een organisaties moet dit, zodra een persoon de toestemming intrekt of het niet meer bijdraagt aan het oorspronkelijke doel.

4. Data overdracht

Personen kunnen hun persoonsgegevens niet alleen opvragen bij organisaties, maar ook laten doorsturen.Op verzoek van de persoon moeten organisaties deze persoonsgegevens doorsturen naar een andere organisatie.

5. Vanaf het ontwerp

Gegevensbescherming moet vanaf het ontwerpen van systemen worden meegenomen – niet later worden toegevoegd. Organisaties moeten passende technische en organisatorische maatregelen uitvoeren. Alleen gegevens die noodzakelijk zijn voor afronding van taken (data minimalisering) mogen bewaard en verwerkt worden. Waarbij alleen de daadwerkelijke verwerker toegang mag hebben.

6. Data Protection Officers (DPO)

Gegevensverwerkende activiteiten moeten nu intern bijgehouden worden, in plaats van gemeld worden. Organisaties wiens kerntaken bestaan uit het op grote schaal verwerken van persoonsgegevens, het monitoren van personen of gegevens verwerken rond strafrechtelijke veroordelingen en misdrijven moeten een Data Protection Officer in dienst hebben.

 

Wellicht vindt je deze blogs ook interessant

Blogs over Duurzaam Informatiebeheer, Flexibele processturing, Slimmer samenwerken

5 redenen om te koppelen via de Zaak Document services van KING

Relevante informatie voor een zaak is vaak vastgelegd in verschillende systemen, zoals een vergunningensysteem, WOZ systeem of document management systeem. KING heeft hiervoor de uitwisselingsstandaard Zaak Document services ontwikkeld. Lees hier 5 grootste voordelen.

BEKIJK