Met de goedkeuring afgelopen voorjaar van de Algemene Verordening Gegevensbescherming (AVG), heeft de Europese Unie (EU) stevig haar stempel gezet op de gegevensbescherming. Ze heeft een blauwdruk in het leven geroepen voor verantwoorde gegevenspraktijken waar organisaties over de hele wereld iets van kunnen leren.
Met de aanpassingen worden de individuele privacyrechten en de afdwingbaarheid van gegevensbeschermingsregels verbeterd, aldus Elizabeth Denham, informatiecommissaris in het Verenigd Koninkrijk. Ze zijn ook bedoeld om "de bevolking meer vertrouwen te geven".
Vertrouwt u uw persoonsgegevens toe aan bedrijven?
Uit een onderzoek uitgevoerd in 2016, bleek dat slechts 1 op de 4 volwassenen bedrijven vertrouwt met zijn of haar persoonsgegevens.
"Verantwoordelijkheid is hier belangrijk", zei Denham hierover. "Het is de taak van u en uw bedrijf om de risico's te begrijpen die u voor anderen creëert en om die risico's vervolgens te beperken", zei ze. Vanaf de start moet daarom worden geïnvesteerd in de fundamentele principes van de privacy.
“Waar ter wereld u zich ook bevindt, als het om wetgeving inzake gegevensbescherming gaat, zijn de onderwerpen altijd dezelfde – klanten hebben het recht te weten wat er met hun gegevens gebeurt, hetgeen samenhangt met de transparantie en verantwoordelijkheid van een bedrijf.”
Wat de EU-lidstaten betreft, vervangt de AVG (Algemene Verordening Gegevensbescherming) vanaf 2018 de huidige Wet Bescherming Persoonsgegevens.
De nieuwe wetgeving strekt zich echter uit voorbij de grenzen van de EU. De regels gelden voor alle landen en organisaties die zakendoen met een EU-lidstaat.
Aspecten van de nieuwe EU-wetgeving inzake gegevensbescherming
- Toestemming gebruik persoonlijke gegevens: bedrijven moeten de uitdrukkelijke toestemming krijgen om iemands gegevens te gebruiken. Er moet ook een rechtsgrond zijn om persoonlijke gegevens bij te houden en te verwerken.
- Het recht om vergeten te worden: het nieuwe "recht op vergetelheid", of het recht om vergeten te worden, houdt in dat iedereen zijn persoonsgegevens kan laten corrigeren of verwijderen van het internet indien ze fout of verouderd zijn.
- Hogere boetes bij niet-naleving: organisaties die de wet niet naleven, zullen aanzienlijk hogere boetes kunnen krijgen (tot 4% van hun internationale omzet).
- Leiderschap databeveiliging: er moet leiderschap komen binnen bedrijven op het vlak van databeveiliging. Ondernemingen zullen mogelijk een werknemer voor gegevensbescherming in dienst moeten nemen (afhankelijk van de grootte van het bedrijf). Deze functionaris voor gegevensbescherming zal verantwoordelijk zijn voor het up-to-date houden van de servers, systemen, protocollen en privacyregels binnen de organisatie.
- Transparantie: ondernemingen moeten transparanter worden over de manier waarop ze (persoonlijke) gegevens gebruiken. Ze moeten hun interne beleid en -procedures voor gegevensbescherming respecteren. Ze moeten ook kunnen aantonen welke mechanismen, beleidsmaatregelen en systemen ze hebben ingevoerd om de wetgeving na te leven.
- Kennisgeving: binnen 72 uur nadat een datalek wordt vastgesteld, moet daarover een kennisgeving worden ingediend. De datalekken en bijbehorende onderzoeken moeten worden gedocumenteerd. Het opzettelijk vernietigen of wijzigen van gegevens wordt beschouwd als een inbreuk en diefstal. (Dit zou onderdeel moeten zijn van een uitgebreid actieplan voor datalekken.)
- Informatievernietiging: ondernemingen zullen gegevens moeten verwijderen die ze niet langer gebruiken waarvoor ze werden verzameld of wanneer een persoon zijn toestemming om over de gegevens te beschikken intrekt. De gouden standaard van de industrie bestaat eruit gebruik te maken van professionele en beveiligde vernietigingsdiensten voor zowel gegevens op papier als voor elektronische gegevens.
Meer informatie over de AVG vindt u in onze infographic.