Vooruitblik: de GDPR in hoofdlijnen

De General Data Protection Regulation (GDPR) wordt een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) naar verwachting per 2018 zal vervangen. Volgens het meest recente tijdpad wordt de GDPR per 1 januari 2016, met een implementatietermijn van 2 jaar, van kracht. Besluitvorming over deze wet loopt voortvarend maar is nog in volle gang. De GDPR brengt ten opzichte van de huidige Europese privacy richtlijnen (de Data Protection Directive uit 1995) waarschijnlijk de volgende grote wijzigingen:

  • Bredere werkingssfeer. De wet is van toepassing als het data subject (de persoon) en/of de data controller/processor (de organisatie) in Europa woonachtig/gevestigd zijn. Dus ook op opslag en bewerkingen van persoonlijke gegevens van EU-burgers als dit buiten de EU geschiedt.
  • One-stop-shop. Er is één Europese wet en organisaties hoeven zich slechts met één Data Protection Authority (DPA) te verstaan. De Nationale DPA’s, zoals in Nederland het College Bescherming Persoonsgegevens, worden door één European Data Protection Board (EDPB) gecoördineerd. Uitzondering hierop kan wetgeving met betrekking tot werknemersgegevens zijn.
  • Uitgebreidere privacy notices. Eisen aan privacy notices worden aangescherpt: bewaartermijnen van persoonlijke gegevens, contactgegevens van de organisatie en contactgegevens van de Data Protection Officer moeten duidelijk vermeld worden.
  • Privacy als Default. Privacy by Design wordt verplicht. Waar gebruikers hun privacy settings zelf kunnen aanpassen moeten deze settings als standaard op het hoogste niveau worden ingesteld.
  • Data Protection Officer wordt verplicht. Organisaties die persoonlijke gegevens van meer dan 5000 data subjects (personen) per jaar verwerken, als ook alle overheidsorganisaties, moeten een DPO aanstellen. De DPO moet onafhankelijk zijn en zowel kennis hebben van Privacy-wetgeving, Informatiebeveiliging als Risicomanagement.
  • Privacy (Impact) Assessments worden verplicht. Regels omtrent het uitvoeren van privacy-risico onderzoeken vooraf en het mitigeren van die risico’s worden strenger. Assessments moeten periodiek worden uitgevoerd.
  • Toestemmingseisen worden hoger. Voordat gegevens verwerkt mogen worden moet het data subject (de persoon) expliciet op basis van volledige informatie akkoord geven. Voor kinderen jonger dan 13 jaar moet de voogd/ouder deze toestemming geven. Toestemming moet altijd weer ingetrokken kunnen worden. Data controllers/processors (organisaties) moeten kunnen aantonen dat deze toestemming daadwerkelijk gegeven is.
  • Meldplicht datalekken. Voor zover nu bekend lijkt dit erg op de wet zoals die per 1 januari 2016 in gaat. Voor Nederland is dit dus geen wijziging, hoewel de details kunnen afwijken.
  • Hogere boetes. Boetes voor overtredingen kunnen oplopen tot 1.000.000 euro (of 2% van de jaaromzet als dit bedrag hoger is).
  • Recht op verwijdering gegevens. Data subjects kunnen onder bepaalde omstandigheden eisen dat hun gegevens verwijderd worden (Right to be forgotten).
  • Data portabiliteit. Personen moeten hun persoonlijke gegevens kunnen downloaden in een voor hen begrijpelijk formaat. Bovendien moeten zij hun gegevens elektronisch kunnen overzetten naar een ander processing systeem.

In hoeverre deze wijzigingen daadwerkelijk hun beslag gaan vinden is uiteraard pas bij het definitief worden van de GDPR te bepalen.

Over de auteur

Boudewijn de Graaf
Kerndocent studierichting Business & IT Management Hogeschool Rotterdam, eigenaar van Kronenbeeck.nl, zelfstandig consultant gespecialiseerd in Privacy Management. Brede veranderkundige, bestuurskundige, organisatiekundige en ICT achtergrond.