Je kon er niet omheen: 2018 was het jaar van de GDPR. Met de invoering van de General Data Protection Regulation werd een nieuw hoofdstuk op het gebied van privacy en veiligheid ingeluid. Maar wat is de impact geweest van deze wetgeving? Nu we richting het einde van het jaar gaan, blikken we graag met je terug op de ontwikkelingen rondom de GDPR. Maar we kijken ook vooruit. Wat ligt er voor jouw organisatie nog meer in het verschiet?
Eerst terug naar de basis. De General Data Protection Regulation is een verordening die als doel heeft ‘natuurlijke personen te beschermen’ wanneer hun persoonsgegevens worden verwerkt. Daarnaast stelt de GDPR regels rondom het ‘vrije verkeer’ van deze gegevens. De verordening is op Europees niveau uitgevaardigd en zorgt ervoor dat er één privacystandaard geldt binnen de Europese Economische Ruimte (EER).
Tot de invoering van de GDPR was de Wet bescherming persoonsgegevens (Wbp) het geldend wettelijk kader in Nederland. Maar wanneer je de GDPR afspiegelt tegen de Wbp, is er weinig nieuws onder de zon. Het maken van afspraken over de verwerking van persoonsgegevens door een verwerker (bijvoorbeeld in een verwerkersovereenkomst) is een verplichting die ook al in de Wbp was opgenomen. Het verschil zit hem met name in de specifieke afspraken die op basis van de GDPR in dergelijke overeenkomsten vastgelegd moeten worden. Een voorbeeld daarvan is de termijn waarbinnen een datalek aan de verantwoordelijke wordt gemeld. Andere nieuwe vereisten zijn het aanstellen van een Functionaris voor Gegevensbescherming (FG) en het bijhouden van een verwerkingsregister voor een bepaalde groep organisaties.
De invoering van de GDPR ging bij velen gepaard met angst. Bedrijven zouden boetes opgelegd kunnen krijgen tot maar liefst 20 miljoen euro of 4 procent van de wereldwijde omzet. Nu de realiteit steeds verder intreedt, blijkt de GDPR niet zo’n grote boosdoener als vooraf werd gedacht of beweerd. De Autoriteit Persoonsgegevens (AP) heeft inderdaad boetes opgelegd. Maar als je leest onder welke omstandigheden dit gebeurde, is het eerder verbazingwekkend dat deze organisaties, na herhaaldelijk op de vingers te zijn getikt, de GDPR (bleven) overtreden.
Een treffend voorbeeld is dat van Theodoor Gilissen Bankiers (TGB). Zij kregen door de AP een (last onder) dwangsom opgelegd toen zij herhaaldelijk geen gehoor gaven aan het verzoek van een klant om inzage in zijn persoonsgegevens. Ook een voorafgaande waarschuwing werd door de bank genegeerd.
Naast, en wellicht zelfs door, de angstscenario’s bestaan er ook enkele misvattingen over de GDPR. Daarom hebben we er drie voor je op een rij gezet.
1. Cookiemeldingen op websites zijn onderdeel van de GDPR.
Vaak wordt gedacht dat cookiemeldingen onderdeel zijn van de GDPR, maar dat is niet het geval. Het cookie-vereiste komt voort uit de Telecommunicatiewet (Tw). De GDPR bevat wel regels die van invloed zijn op cookies. Veel bedrijven hebben de vruchten geplukt van deze misvatting. Zo zijn er tal van applicaties ontwikkeld op het gebied van cookies en meldingen die je zouden helpen om aan de GDPR te voldoen.
2. Een privacyverklaring is verplicht binnen de GDPR.
Het verplicht gebruiken van een privacyverklaring komt niet voort uit de GDPR. Het is wel een manier om aan de GDPR te voldoen. Het niet opstellen van een privacyverklaring wil echter niet zeggen dat je daarmee in strijd handelt met de GDPR.
3. Om aan de GDPR te voldoen moet een verwerker afspraken over de verwerking van persoonsgegevens verplicht vastleggen in een verwerkersovereenkomst.
Het gebruik van een verwerkersovereenkomst is inderdaad een manier om afspraken vast te leggen. Je mag deze afspraken echter ook vastleggen in de Algemene Voorwaarden of een andere overeenkomst. Je bent volledig vrij in hoe je dat document noemt. Het vastleggen van afspraken over de verwerking van persoonsgegevens is dus vormvrij, zo lang je de afspraken maar maakt en schriftelijk vastlegt.
De term e-privacyverordening wordt vaak in één adem genoemd met de GDPR. Dat komt waarschijnlijk omdat de initiële inwerkingtreding hiervan ook voor 25 mei 2018 op het programma stond. Gezien alle ontwikkelingen lijkt het er nu op dat deze verordening pas in de loop van 2020 in werking zal treden.
De e-privacyverordening gaat regels stellen om de inhoud van berichten en andere communicatie en de daarbij horende metadata te beschermen. Waarschijnlijk wordt in deze wetgeving het beginsel van ‘Privacy by Default’ opgenomen. Privacy wordt daarmee de ‘standaardinstelling’. Dit heeft onder andere impact op het gebruik van cookies. Nu wordt toestemming tot de verwerking van metadata nog verkregen door het accepteren van cookies. Binnen de e-privacyverordening moet deze toestemming al op browserniveau gegeven worden. Dit zal betekenen dat er een functionaliteit ingebouwd moet worden waarmee het plaatsen en uitlezen van metadata per definitie niet meer is toegestaan. Ook wifi-tracking zal aan dit ‘Privacy by Default’ beginsel moeten voldoen.
Terugblikkend op het afgelopen jaar, lijkt het erop dat de soep niet zo heet gegeten wordt als zij werd opgediend. Met de invoering van de GDPR is privacy meer dan ooit onder de aandacht bij bedrijven en personen, maar de angstscenario’s die werden geschetst lijken mee te vallen. Of dit met de e-privacyverordening ook het geval is, zal blijken wanneer de definitieve versie van deze verordening is vastgesteld. Een ding is zeker: privacy wordt steeds meer een Europees speerpunt. Wordt vervolgd!
Wil je meer weten over de GDPR? Bekijk dan onze dossierpagina. Daar vind je onder andere gedetailleerde whitepapers en blogs over onderdelen van de GDPR.
Almere
Veluwezoom 15c
1327 AE Almere
Kantoor: +31 (0)36 53 93 100
Servicedesk: +31 (0)36 53 93 111
Apeldoorn
Jean Monnetpark 11
7336 BA Apeldoorn
Kantoor: +31 (0)55 576 28 56
Servicedesk: +31 (0)55 576 28 56
Arnhem
Boulevard Heuvelink 102
6828 KT Arnhem
Kantoor: +31 (0)26 44 225 40
Servicedesk: +31 (0)26 33 97 969
Sales: +31 (0)26 37 000 82
Thysia is nu EshgroDoor de overname in oktober 2021 is Thysia nu onderdeel van Eshgro. Daarom zijn we voortaan bereikbaar via www.eshgro.nl. In dit nieuwsbericht lees je meer over deze krachtenbundeling.
Heb je een vraag voor onze servicedesk? Dan kun je op deze pagina terecht of neem direct contact op met servicedesk Breda via telefoonnummer +31(0)76 52 18 846.
Voor andere vragen kun je terecht op onze contactpagina.
Door de fusie met Avensus in januari 2022 is BosworX (onderdeel van Avensus) nu Eshgro. Daarom zijn we voortaan bereikbaar via www.eshgro.nl. In dit nieuwsbericht lees je meer over deze krachtenbundeling.
Heb je een vraag voor onze servicedesk? Dan kun je op deze pagina terecht of neem direct contact op met servicedesk Apeldoorn via telefoonnummer +31 (0)55 30 10 100. Voor andere vragen kun je terecht op onze contactpagina.
Avensus is nu EshgroDoor de fusie met Avensus in januari 2022 zijn de cloud- en managed securityactiviteiten van Avensus nu onderdeel van Eshgro. Daarom zijn we voortaan bereikbaar via www.eshgro.nl. In dit nieuwsbericht lees je meer over deze krachtenbundeling. Voor de dienstverlening op het gebied van High Grade Security en Audit & Assurance kun je nog steeds terecht op www.avensus.nl.
Heb je een vraag voor onze servicedesk? Kijk dan op deze pagina voor de contactgegevens per vestiging. Voor andere vragen kun je terecht op onze contactpagina.
Door de overname in december 2020 is Diabolo ICT nu Eshgro. Daarom zijn we voortaan bereikbaar via www.eshgro.nl. In dit nieuwsbericht lees je meer over deze krachtenbundeling.
Heb je een vraag voor onze servicedesk? Dan kun je op deze pagina terecht of neem direct contact op met servicedesk Arnhem via telefoonnummer +31(0)26 33 97 969. Voor andere vragen kun je terecht op onze contactpagina.