De Europese GDPR-wetgeving en wat dit betekent voor bedrijven

U heeft misschien al iets horen vallen over de nieuwe GDPR-wetgeving van de Europese Unie. Maar wat is dit precies? En wat betekent dit voor bedrijven? Wij zetten de belangrijkste info op een rijtje.

Wat is de GDPR-wetgeving?

GDPR staat voor General Data Protection Regulation (in het Nederlands ‘Algemene Verordening Gegevenbescherming’ of AVG).

Het is een geheel van regels die geïntroduceerd werden door de Europese Unie met als doel de gegevens van natuurlijke personen te beschermen. Er worden voorwaarden opgelegd in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens.

De GDPR-wetgeving vervangt de databeschermingsrichtlijn uit 1995. Deze richtlijn was verouderd, en sloot niet meer aan bij de huidige digitale maatschappij. Een goede 20 jaar geleden was er immers geen spraken van cloudtechnologie of sociale media.

Tijdlijn

Vanaf mei 2016 is deze regelgeving actief. Bedrijven met meer dan 250 werknemers die meer dan vijfduizend records per jaar verwerken, krijgen echter tot 25 mei 2018 de tijd om hun gegevensbeheer in overeenstemming te brengen. Later is deze wetgeving ook van toepassing op KMO’s, ongeacht hun grootte en het aantal verwerkte records.

U heeft dus nog even de tijd. Desalniettemin doet u er goed aan om nu al de nodige voorbereidingen en maatregelen te treffen.

Boetes

Worden er na deze datum ernstige onregelmatigheden vastgesteld, dan kunnen boetes opgelegd worden. De maximale boete kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is.

De GDPR-wetgeving beknopt samengevat

De volledige omschrijving van de nieuwe Europese GDPR-wetgeving lezen is geen pretje. Bovendien heeft u hiervoor waarschijnlijk geen tijd. Daarom hebben we de belangrijkste zaken samengevat:

Transparantie

Bedrijven moeten gebruikers informeren over hoe de gegevens worden verzameld en verwerkt. Dit moet op een duidelijke manier gebeuren, zodat de lezer dit begrijpt.

Meldingsplicht

In geval van een datalek moeten ondernemingen dit binnen de 72 uur melden, tenzij dit lek geen gevaar betekent voor de persoonsgegevens.

Toestemming

Toestemming van de gebruiker is nodig voor de verzameling en verwerking van zijn/haar persoonlijke gegevens. Deze toestemming moet niet expliciet gegeven worden. Een voorbeeld hiervan is de cookie-popup die op heel wat websites verschijnt, met een link naar een pagina met extra informatie. Wanneer men de website blijft gebruiken, gaat men uit van een impliciete toestemming.

Recht om vergeten te worden

Een van de belangrijkste pijlers van het GDPR is het recht om vergeten te worden. Indien een persoon hierom vraagt, moeten bedrijven de persoonsgegevens kunnen wissen (zelfs indien deze met derde partijen zijn gedeeld).

Het nut van secure erasure

De laatste pijler – het recht om vergeten te worden – onderstreept nogmaals het belang van secure erasure. Als onderneming wilt u er zeker van zijn dat, wanneer de gebruiker hierom vraagt, de persoonsgegevens op een correcte en efficiënte manier worden verwijderd.

Wanneer dit niet correct gebeurde, kunnen zware boetes opgelegd worden.

Stellar Data Recovery biedt een data erasure audit om het resultaat van het wisproces te controleren volgens de NIST800-88r1 classificatie. Op deze manier bent u 100% zeker dat uw onderneming aan dit luik van de General Data Protection Regulation voldoet.