
Digitalisering verandert de wereld in een razendsnel tempo. Enerzijds maakt het veel zaken eenvoudiger. Anderzijds brengen al die data ook de nodige risico’s met zich mee, met name op het gebied van privacy. Bij de Europese Unie staat dit punt hoog op de agenda. Daarom hebben zij de General Data Protection Regulation (GDPR) opgesteld, een regeling die veel middelgrote bedrijven raakt.
De General Data Protection Regulation is in het leven is geroepen om de bescherming van data van individuen binnen de Europese Unie te waarborgen en te uniformiseren. De wet is aangenomen op 27 april 2016 en zal, na een transitieperiode van twee jaar, op 25 mei 2018 in werking treden. In tegenstelling tot een richtlijn, heeft de GDPR geen ondersteunende wetgeving nodig om door overheden ingevoerd te worden. Veel organisaties zullen te maken krijgen met de effecten van de GDPR.
Het is voor bedrijfscontrollers dan ook van belang op de hoogte te zijn van de GDPR en de gevolgen die deze nieuwe regelgeving kan hebben voor de bedrijfsvoering. Bedrijven kunnen ervoor kiezen de implementatie en uitvoering van de GDPR bij de controller te beleggen, aangezien het veel financiële processen raakt. Dit betekent dat de controller ervoor moet zorgen dat het bedrijf handelt in overeenstemming met de GDPR en dit ook moet kunnen aantonen.
Wat staat er in de GDRP?
De GDPR bevat een aantal basisprincipes voor dataprotectie die bedrijven in acht moeten nemen als het gaat om persoonsgegevens:
- Rechtmatigheid, eerlijkheid en transparantie – Bedrijven moeten persoonlijke data op een rechtmatige, eerlijke en transparante manier verwerken in relatie tot de personen waarop deze data betrekking hebben.
- Integriteit en vertrouwelijkheid – Bedrijven moeten persoonlijke data op een veilige manier verwerken. Zo moet data beveiligd zijn tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Organisaties moeten hiervoor de gepaste technische en organisatorische maatregelen treffen.
- Dataminimalisering – Persoonlijke data moeten adequaat en relevant verwerkt worden. Daarnaast dienen persoonlijke data alleen beschikbaar zijn voor die personen die nodig zijn in relatie tot de doelen waarvoor de data verwerkt moet worden.
- Afbakening van het doel – Bedrijven mogen alleen persoonlijke data verzamelen voor gespecificeerde, expliciete en rechtmatige doeleinden, en niet verwerken op een manier die niet aansluit bij deze doeleinden. Verdere verwerking van persoonlijke data voor archiveringsdoeleinden voor publiek belang, wetenschappelijk en historisch onderzoek of statistische doeleinden, wordt niet gezien als ‘niet in aansluiting’ met de originele doelen. In dat geval moeten organisaties echter wel voldoen aan de voorwaarden in Artikel 83(1). Dit artikel beschrijft de waarborging en afwijkingen in relatie tot het verwerken van data voor de hierboven genoemde doeleinden.
- Afbakening van de opslag – Bedrijven moeten persoonlijke data opslaan op een manier die de identificatie van de personen waarop de data betrekking hebben, enkel mogelijk maakt voor de strikt noodzakelijke tijd die nodig is voor het bereiken van de doelen waarvoor de persoonlijke gegevens verwerkt worden. Persoonlijke data mogen wel voor langere periodes opgeslagen worden, mits deze specifiek worden verwerkt voor archiveringsdoeleinden voor publiek belang, wetenschappelijk en historisch onderzoek of statistische doeleinden. Dit moet dan echter wel in overeenstemming zijn met Artikel83(1), en onder de voorwaarde dat het bedrijf gepaste technische en organisatorische maatregelen treft.
- Nauwkeurigheid – Persoonlijke data moeten nauwkeurig zijn en, als nodig, geüpdatet worden. Bedrijven moeten iedere redelijke maatregel nemen om ervoor te zorgen dat persoonlijke data die niet nauwkeurig zijn, in relatie tot de doelen waarvoor ze verwerkt worden, worden gewist of gerectificeerd – direct en zonder vertraging.
Drie tips ter voorbereiding op de GDPR
Hoe kunt u uw organisatie voorbereiden op de GDPR? Hier volgen drie tips:
- Zorg in ieder geval dat u goed op de hoogte bent van de regels van de GDPR als het gaat om het verwerken, archiveren of doorsturen van persoonlijke data. Dit kan gaan om persoonlijke gegevens van klanten, potentiële klanten, maar ook medewerkers.
- Zorg voor een degelijk dataprotectiebeleid. Of, als dat er al is, dat dit beleid goed geëvalueerd wordt om te zorgen dat het aan de nieuwe regelgeving voldoet. Als gevolg van de nieuwe regelgeving, zijn ook nieuwe gedragsregels en training nodig om ervoor te zorgen dat medewerkers zich gedragen in lijn met de nieuwe principes.
- Zorg er tot slot voor dat u de juiste middelen heeft om te kunnen aantonen dat het bedrijf voldoet aan de GDPR.
Het duurt nog even tot mei 2018, maar wacht niet te lang met de voorbereidingen en zorg ervoor dat uw bedrijf op tijd klaar is voor de GDPR.
Ingrid Ligthart is senior product marketing manager bij Exact Software
Geef een reactie