De Algemene Verordening Gegevensbescherming (of: GDPR) is een verordening waarmee de Europese Commissie de veiligheid van data wil bevorderen. Het gaat hierbij vooral om het beschermen van persoonlijke informatie van Europese inwoners, maar ook om het reguleren van de export van persoonlijke data buiten de Europese Unie. De Europese Commissie wil hiermee de controle over persoonlijke data teruggeven aan het individu.
Omvang van de verordening
Met 'persoonlijke data' wordt alle informatie bedoeld die betrekking heeft op een individu. Dat kan alles zijn, zoals een naam, foto, emailadres, socialmediabericht, medische informatie of een IP-adres.
De wetgeving is van toepassing indien:
- de datacontroller (de organisatie die de data verwerkt) zijn thuisbasis in de EU heeft, of
- de persoon waar de data betrekking op heeft een EU-inwoner is.
De wetgeving is niet van toepassing indien de data door bevoegde instanties wordt verwerkt met als doel de nationale veiligheid te bevorderen.
Tijdsbestek
De Algemene Verordening Gegevensbescherming is aangenomen in april 2016. Zij trad in werking op 24 mei 2016 en zal integraal van toepassing zijn vanaf 25 mei 2018. Dit geeft Europese overheden en bedrijven twee jaar de tijd om zich voor te bereiden op de veranderende regelgeving.
Sancties
Het overtreden van de Algemene Verordening Gegevensbescherming kan verschillende sancties opleveren. In het geval van een eenmalige onbedoelde overtreding wordt een schriftelijke waarschuwing verstuurd. Ook kunnen periodieke audits op het gebied van databeveiliging worden uitgevoerd. Bij ernstige of meermalige overtredingen kan een boete van maximaal 20 miljoen euro of 4% van de jaarlijkse omzet worden opgelegd.
Gevolgen Algemene Verordening Gegevensbescherming
Een van de belangrijkste gevolgen is dat in elk EU-land dezelfde regelgeving geldt met betrekking tot het verwerken van persoonlijke informatie. Elke lidstaat moet beschikken over een eigen onafhankelijke toezichthoudende autoriteit. Deze autoriteiten zullen internationaal met elkaar samenwerken.
Rechten van de betrokkene
De Algemene Verordening Gegevensbescherming zorgt ervoor dat individuen meer rechten krijgen als het gaat om hun data.
- De betrokkene moet duidelijke toestemming geven om persoonsgegevens te verwerken,
- De betrokkene moet eenvoudig toegang hebben tot zijn persoonsgegevens,
- De betrokkene moet het recht hebben om 'vergeten' te worden (bijvoorbeeld door het verwijderen van bepaalde zoekresultaten),
- De betrokkene moet het recht hebben om bezwaar te maken,
- De betrokkene moet gegevens mee kunnen nemen tussen verschillende dienstverleners.
Privacy by design
Hoewel het concept van privacy by design al langer bestaat, geeft de Algemene Verordening Gegevensbescherming regelgeving voor het uitvoeren hiervan. Organisaties moeten processen, procedures en systemen zo inrichten dat privacy standaard gewaarborgd is. Ook moeten processen zo worden ingericht dat alleen relevante informatie wordt verzameld en dat persoonlijke data eenvoudig kan worden verwijderd.
Functionaris voor gegevensbescherming
Publieke organisaties waarbij het verwerken van persoonlijke informatie tot een kernactiviteit gerekend mag worden, moeten een functionaris voor gegevensbescherming aanstellen. Dit kan een werknemer van de organisatie zijn maar ook een externe gespecialiseerde dienstverlener zoals bijvoorbeeld een advocaat. Een eerste conceptversie van de verordening stelde dat deze verplichting alleen zou gelden voor bedrijven met meer dan 250 werknemers, maar de uiteindelijke verordening bevat geen ondergrens. Deze verplichting kan dus voor elke organisatie gelden, ongeacht de grootte.