Je kon er niet omheen: 2018 was het jaar van de GDPR. Met de invoering van de General Data Protection Regulation werd een nieuw hoofdstuk op het gebied van privacy en veiligheid ingeluid. Maar wat is de impact geweest van deze wetgeving? Nu we richting het einde van het jaar gaan, blikken we graag met je terug op de ontwikkelingen rondom de GDPR. Maar we kijken ook vooruit. Wat ligt er voor jouw organisatie nog meer in het verschiet?
Eerst terug naar de basis. De General Data Protection Regulation is een verordening die als doel heeft ‘natuurlijke personen te beschermen’ wanneer hun persoonsgegevens worden verwerkt. Daarnaast stelt de GDPR regels rondom het ‘vrije verkeer’ van deze gegevens. De verordening is op Europees niveau uitgevaardigd en zorgt ervoor dat er één privacystandaard geldt binnen de Europese Economische Ruimte (EER).
Tot de invoering van de GDPR was de Wet bescherming persoonsgegevens (Wbp) het geldend wettelijk kader in Nederland. Maar wanneer je de GDPR afspiegelt tegen de Wbp, is er weinig nieuws onder de zon. Het maken van afspraken over de verwerking van persoonsgegevens door een verwerker (bijvoorbeeld in een verwerkersovereenkomst) is een verplichting die ook al in de Wbp was opgenomen. Het verschil zit hem met name in de specifieke afspraken die op basis van de GDPR in dergelijke overeenkomsten vastgelegd moeten worden. Een voorbeeld daarvan is de termijn waarbinnen een datalek aan de verantwoordelijke wordt gemeld. Andere nieuwe vereisten zijn het aanstellen van een Functionaris voor Gegevensbescherming (FG) en het bijhouden van een verwerkingsregister voor een bepaalde groep organisaties.
De invoering van de GDPR ging bij velen gepaard met angst. Bedrijven zouden boetes opgelegd kunnen krijgen tot maar liefst 20 miljoen euro of 4 procent van de wereldwijde omzet. Nu de realiteit steeds verder intreedt, blijkt de GDPR niet zo’n grote boosdoener als vooraf werd gedacht of beweerd. De Autoriteit Persoonsgegevens (AP) heeft inderdaad boetes opgelegd. Maar als je leest onder welke omstandigheden dit gebeurde, is het eerder verbazingwekkend dat deze organisaties, na herhaaldelijk op de vingers te zijn getikt, de GDPR (bleven) overtreden.
Een treffend voorbeeld is dat van Theodoor Gilissen Bankiers (TGB). Zij kregen door de AP een (last onder) dwangsom opgelegd toen zij herhaaldelijk geen gehoor gaven aan het verzoek van een klant om inzage in zijn persoonsgegevens. Ook een voorafgaande waarschuwing werd door de bank genegeerd.
Naast, en wellicht zelfs door, de angstscenario’s bestaan er ook enkele misvattingen over de GDPR. Daarom hebben we er drie voor je op een rij gezet.
1. Cookiemeldingen op websites zijn onderdeel van de GDPR.
Vaak wordt gedacht dat cookiemeldingen onderdeel zijn van de GDPR, maar dat is niet het geval. Het cookie-vereiste komt voort uit de Telecommunicatiewet (Tw). De GDPR bevat wel regels die van invloed zijn op cookies. Veel bedrijven hebben de vruchten geplukt van deze misvatting. Zo zijn er tal van applicaties ontwikkeld op het gebied van cookies en meldingen die je zouden helpen om aan de GDPR te voldoen.
2. Een privacyverklaring is verplicht binnen de GDPR.
Het verplicht gebruiken van een privacyverklaring komt niet voort uit de GDPR. Het is wel een manier om aan de GDPR te voldoen. Het niet opstellen van een privacyverklaring wil echter niet zeggen dat je daarmee in strijd handelt met de GDPR.
3. Om aan de GDPR te voldoen moet een verwerker afspraken over de verwerking van persoonsgegevens verplicht vastleggen in een verwerkersovereenkomst.
Het gebruik van een verwerkersovereenkomst is inderdaad een manier om afspraken vast te leggen. Je mag deze afspraken echter ook vastleggen in de Algemene Voorwaarden of een andere overeenkomst. Je bent volledig vrij in hoe je dat document noemt. Het vastleggen van afspraken over de verwerking van persoonsgegevens is dus vormvrij, zo lang je de afspraken maar maakt en schriftelijk vastlegt.
De term e-privacyverordening wordt vaak in één adem genoemd met de GDPR. Dat komt waarschijnlijk omdat de initiële inwerkingtreding hiervan ook voor 25 mei 2018 op het programma stond. Gezien alle ontwikkelingen lijkt het er nu op dat deze verordening pas in de loop van 2020 in werking zal treden.
De e-privacyverordening gaat regels stellen om de inhoud van berichten en andere communicatie en de daarbij horende metadata te beschermen. Waarschijnlijk wordt in deze wetgeving het beginsel van ‘Privacy by Default’ opgenomen. Privacy wordt daarmee de ‘standaardinstelling’. Dit heeft onder andere impact op het gebruik van cookies. Nu wordt toestemming tot de verwerking van metadata nog verkregen door het accepteren van cookies. Binnen de e-privacyverordening moet deze toestemming al op browserniveau gegeven worden. Dit zal betekenen dat er een functionaliteit ingebouwd moet worden waarmee het plaatsen en uitlezen van metadata per definitie niet meer is toegestaan. Ook wifi-tracking zal aan dit ‘Privacy by Default’ beginsel moeten voldoen.
Terugblikkend op het afgelopen jaar, lijkt het erop dat de soep niet zo heet gegeten wordt als zij werd opgediend. Met de invoering van de GDPR is privacy meer dan ooit onder de aandacht bij bedrijven en personen, maar de angstscenario’s die werden geschetst lijken mee te vallen. Of dit met de e-privacyverordening ook het geval is, zal blijken wanneer de definitieve versie van deze verordening is vastgesteld. Een ding is zeker: privacy wordt steeds meer een Europees speerpunt. Wordt vervolgd!
Wil je meer weten over de GDPR? Bekijk dan onze dossierpagina. Daar vind je onder andere gedetailleerde whitepapers en blogs over onderdelen van de GDPR.