Doorkijk nieuwe GDPR: Boete, Meldplicht en Privacy Officers

Vanuit betrouwbare bron wordt gemeld dat de nieuwe Europese Privacywetgeving (GDPR), die in het eindstadium van onderhandeling is, waarschijnlijk het volgende gaat omvatten:

  • Privacyautoriteiten kunnen forse boete’s opleggen: de maximale hoogte hangt af van de soort overtreding. €1.000.000 (of 2% jaaromzet) als de FG/DPO zijn plicht verzaakt en/of als je een aanwijzing van een Nationale privacy autoriteit niet opvolgt en €2.000.000 (of 4% jaaromzet) als datasubjects schade ondervinden van je handelen;
  • De meldplicht datalekken: meldingen van datalekken aan de Nationale privacy autoriteit moeten binnen 72 uur plaatsvinden, maar alleen als het lek gevolgen heeft voor persoonlijke vrijheid en/of rechten van individuen. Als er gegronde redenen zijn mag de melding ook later plaatsvinden. Datalekken moeten bijgehouden worden en dit overzicht moet op aanvraag van de privacy autoriteit getoond kunnen worden;
  • Verplichte FG/DPO: a) overheidsorganisaties, b) organisaties die systematisch en regelmatig veel personen monitoren en c) organisaties die aanzienlijke hoeveelheden gevoelige persoonlijke informatie verwerken zijn verplicht een Data Protection Officer (DPO) aan te stellen. Deze mag nevenfuncties in dezelfde organisatie hebben en ook mag een persoon voor meerdere organisaties DPO zijn. De DPO moet een jaar na inwerking treden van de wet aangesteld zijn (op zijn vroegst dus januari 2019).

Over de auteur

Boudewijn de Graaf
Kerndocent studierichting Business & IT Management Hogeschool Rotterdam, eigenaar van Kronenbeeck.nl, zelfstandig consultant gespecialiseerd in Privacy Management. Brede veranderkundige, bestuurskundige, organisatiekundige en ICT achtergrond.