De grote vriendelijke GDPR

Ofwel hoe de Europese wetgeving een inhaalbeweging maakt om mee te zijn met de technologieën die zich razendsnel ontwikkelen. Het is de vernieuwde versie van de databeschermingsrichtlijn die in 1995 was opgesteld.
Geschreven door Johnny Berkmans

Wat is de GDPR?

De GDPR, ofwel de ‘General Data Protection Regulation’, is een Europese privacyverordering* die opgesteld is om de eindgebruiker te beschermen inzake privacy.

De Europese privacyverordening algemene verordening gegevensbescherming (AVG) (General Data Protection Regulation, GDPR) gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.


Deze verordering is een hele kluif die je kan terugvinden op de website van Eur-lex (88 blz). Maar om dit wat meer ‘verteerbaar’ te maken heeft de privacycommissie een stappenplan gepubliceerd met 13 stappen om de GDPR na te leven. (zie pdf) Hieronder zie je een kleine samenvatting.

13 Stappen van de Privacycommissie.

1° Bewustmaking: zorg ervoor dat alle betrokken partijen op de hoogte zijn van de nieuwe wetgeving. Zij zullen de impact van de GDPR moeten inschatten op het project.

2° Dataregister: Zorg ervoor dat je weet waar je alle persoonsgegevens verzameld. Hou dit bij in een document zodat het hele team die gegevens snel kan opvragen, wanneer het nodig is.

3° Communicatie: Herevalueer de bestaande privacyverklaring, zorg ervoor dat alles duidelijk is uitgeschreven in klare taal.

4° Rechten van de betrokken: Zorg ervoor dat de betrokkenen baas zijn over hun eigen informatie. De gebruiker heeft het recht om zijn informatie te verwijderen of aan te passen.

5° Verzoek tot toegang: Een update van je privacyverklaring is niet voldoende, zorg ervoor dat de betrokkenen weet hebben welke informatie je bijhoudt en voor welke termijn.

6° Wettelijke grondslag voor het verwerken van persoonsgegevens: ahv je dataregister kan je tamelijk snel achterhalen welke gegevens je van de gebruiker opslaat. Hier is het ook belangrijk om de wettelijke basis* ervan te bepalen,

7° Toestemming: Toestemming om iemands gegevens te verwerken moet specifiek en ondubbelzinnig zijn. Er mag geen sprake zijn een vooraf aangevinkte checkbox. De gebruiker moet zijn toestemming uit vrije wil geven. De AVG is zo opgesteld dat de DPO* in staat moet zijn om aan te tonen dat de gebruiker zijn toestemming heeft gegeven.

8° Kinderen: Ontwikkel systemen die de leeftijd van de betrokkene nagaan en die de ouder(s) of voogd(en)
om toestemming vragen voor de gegevensverwerking van minderjarige kinderen.

9° Datalekken: Voorzie geschikte procedures om datalekkages op te sporen, te rapporteren en te onderzoeken.

10° Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling:Gegevensbescherming hoort onderdeel te zijn vanaf het begin van een project. Beoordeel de situaties waar het nodig zal zijn, maak een analyse en zorg ervoor dat de mensen, die de implementatie doen, vanaf het begin betrokken zijn.

11° Functionaris voor gegevensbescherming** (Data Protection Officer): Stel iemand aan als eindverantwoordelijke, iemand die op de hoogte is van de GDPR en waar je bij terecht kan met eventuele vragen omtrent de GDPR.

12° Bestaande contracten: In geval van outsourcing is het van belang dat je weet welke partijen conform zijn met de GDPR. Herevalueer je huidige contracten en wijzig waar je het nodig acht.

13° Internationaal: Op internationaal niveau moet je bepalen onder welke toezichthoudende autoriteit je valt. Hierbij is het enorm van belang om een dataregister op te stellen en bij te houden in welke regio van de wereld de meest belangrijke beslissingen worden gemaakt, inzake gegevensverwerking.

Meer informatie over de GDPR vind je terug via deze link.