GDPR: aan welke regels moet je voldoen?

GDPR aan welke regels voldoen

GDPR is de afkorting van General Data Protection Regulation. De Nederlandse versie van de GDPR is de AVG, de Algemene Verordening Gegevensbescherming. Dit is Europese wetgeving over de bescherming van persoonsgegevens. De privacywet bestaat uit tientallen vereisten voor bedrijven en organisaties. Hier lees je alles over de GDPR en aan welke regels je moet voldoen. Ook bepaal je welke wetgeving op jouw bedrijf of organisatie van toepassing is.

Wat is de GDPR

De GDPR is de strengste privacy- en beveiligingswet ter wereld. Iedere organisatie die in de Europese Unie persoonsgegevens verzamelt of verwerkt, moet zich aan deze wetgeving houden. De verordening trad in werking op 25 mei 2018. Daarmee kwam de GDPR in Nederland in de plaats van de Wet bescherming persoonsgegevens. 

Dankzij de Privacywet kunnen de nationale privacytoezichthouders maatregelen opleggen aan de bedrijven die zich niet aan de GDPR houden. In Nederland is dat de Autoriteit Persoonsgegevens. Wie inbreuk maakt op de AVG, kan hoge boetes verwachten. Tot zelfs 20 miljoen euro of 4% procent van de wereldwijde jaaromzet.

Met de GDPR heeft Europa een statement willen maken. Steeds meer mensen zijn online en delen hun persoonsgegevens met clouddiensten. De EU vindt het belangrijk om hun privacy te beschermen. 

De verordening is uitgebreid en staat vol met open normen. Hierdoor kan het lastig zijn om te weten of je wel aan de wetgeving voldoet. Eén ding is zeker. De GDPR geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken. Van mkb’ers tot multinationals als Google.

Om je wegwijs te maken in het oerwoud aan privacyregels vind je hieronder informatie over de GDPR. Je leest meer over de basisbegrippen. Ook krijg je tips hoe je risico’s op inbreuk beperkt. Zoals gezegd, zijn veel regels uit de GDPR open normen. De informatie is dus een weergave van de huidige interpretaties.

Zelf de AVG regelen voor jouw organisatie?

Regel alle onderdelen van de AVG zelfstandig via onze online werkomgeving, zonder duizenden euro’s uit te geven aan juridisch advies.

Probeer 30 dagen gratis
AVG zelf regelen

Geschiedenis van de GDPR

Het recht op privacy maakt deel uit van het Europees Verdrag voor de Rechten van de Mens (EVRM) uit 1950. Daarin staat dat iedereen recht heeft op ‘eerbiediging van zijn privé- en gezinsleven, zijn huis en zijn correspondentie’. Dit is de basis voor de huidige wetgeving.

Sinds 1950 heeft de technologie zich natuurlijk sterk ontwikkeld. Zeker de komst van het internet heeft de wereld veranderd. Voor de EU is de noodzaak van het beschermen van persoonsgegevens daardoor toegenomen. In 1995 keurde de EU de Europese richtlijn gegevensbescherming goed. Daarin stonden minimumnormen voor privacybescherming. Iedere lidstaat was vrij om zelf uitvoeringswetten op te stellen. 

Sinds 25 mei 2018 moeten alle organisaties aan deze wetgeving voldoen.

De eerste advertentie in de vorm van een banner kwam in 1994 online. Sinds 2000 kan je internetbankieren bij een meerderheid van de financiële instellingen. Vanaf 2006 is Facebook in de lucht. In 2011 werd Google voor het eerst aangeklaagd door een gebruiker. De reden? Google scande haar e-mails. 

Voor de Europese gegevensbeschermingsautoriteit was dit de trigger om tot meer actie over te gaan. De EU had een alomvattende aanpak van de bescherming van persoonsgegevens nodig. De richtlijn van 1995 was daarvoor niet voldoende. Ruim twintig jaar later trad de GDPR in werking. Sinds 25 mei 2018 moeten alle organisaties aan deze wetgeving voldoen.

De belangrijkste begrippen uit de GDPR

De GDPR staat vol met (juridische) begrippen. De belangrijkste hiervan zijn:

Persoonsgegevens
Persoonsgegevens zijn alle gegevens waarmee je een bepaald persoon identificeert. Direct of indirect. Denk aan namen, adresgegevens, locatiegegevens, etniciteit, geslacht, cookies, gegevens over iemands gezondheid, religieuze overtuigingen en politieke opvattingen.

Verwerking van persoonsgegevens
Dit gaat om iedere handeling met persoonsgegevens. Geautomatiseerd of handmatig, digitaal of analoog. Voorbeelden van handelingen zijn het verzamelen, vastleggen, ordenen, structureren, bewaren, gebruiken en wissen van persoonsgegevens. Kortom: bijna alles wat je kan bedenken, valt hieronder.

Betrokkene
De persoon van wie je gegevens verwerkt. Dat is bijvoorbeeld degene die jouw website bezoekt, je klant of een prospect aan wie je nieuwsbrieven verstuurt.

Verwerkingsverantwoordelijke
De persoon die beslist over het waarom en hoe van de verwerking van persoonsgegevens. Dit geldt ook als je persoonsgegevens doorstuurt naar een derde die in jouw opdracht werkt, bijvoorbeeld een boekhouder. Jouw bedrijf blijft verantwoordelijk voor de (juiste) verwerking.

Verwerker
Een derde partij die persoonsgegevens verwerkt namens een gegevensbeheerder. Cloudservers en e-mail-service-providers zijn voorbeelden van verwerkers. Maar ook bijvoorbeeld een accountant en een externe helpdesk. In de GDPR staan er specifieke regels voor deze personen en organisaties.

De kern van de GDPR

De hierboven genoemde begrippen komen overal in de GDPR terug. Dat gebeurt bijvoorbeeld in artikel 5. Daarin staan zeven basisprincipes. Aan die regels moet je je als bedrijf houden bij de verwerking van persoonsgegevens.

  1. Rechtmatig, eerlijk en transparant – De verwerking moet rechtmatig, eerlijk en transparant zijn voor de betrokkene.
  1. Doelgericht – Je mag alleen gegevens verwerken als dat mag volgens de wet. Ook moet je dat doel van tevoren aan de betrokkene hebben doorgegeven.
  1. Noodzakelijk – Je mag alleen gegevens verzamelen en verwerken als dat absoluut noodzakelijk is voor de gespecificeerde doeleinden.
  1. Nauwkeurig – Je moet de persoonsgegevens juist verwerken en up-to-date houden.
  1. Opslagbeperking – Je mag de persoonsgegevens alleen bewaren zolang dat nodig is voor het specifieke doel.
  1. Integer en vertrouwelijk – De verwerking moet je zo uitvoeren dat je de juiste beveiliging, integriteit en vertrouwelijkheid garandeert. Dat kan bijvoorbeeld door gebruik te maken van encryptie.
  1. Verantwoording – De verwerkingsverantwoordelijke moet laten zien dat de persoonsgegevens goed zijn beschermd. Volgens de GDPR dus.

Aantonen dat je voldoet aan de GDPR

Je moet altijd kunnen aantonen dat je je aan de GDPR houdt. Stel dat de toezichthouder bij je bedrijf langskomt. Beweren dat je aan de GDPR voldoet, is dan niet voldoende. Het is aan te bevelen om:

  • gedetailleerde documentatie bij te houden van de persoonsgegevens die je verwerkt. Noteer ook hoe je ze gebruikt, waar je ze opslaat, welke medewerker er verantwoordelijk voor is, etc.
  • binnen je bedrijf duidelijk te hebben wie er verantwoordelijk is voor de gegevensverwerking.
  • medewerkers voor te lichten. Zij moeten weten hoe ze op een juiste manier met de persoonsgegevens van anderen omgaan.
  • verwerkersovereenkomsten met verwerkers af te sluiten. Voor een verwerkingsverantwoordelijke is dat zelfs een verplichting die in de wetgeving staat.
  • een Functionaris Gegevensbescherming (FG) aan te stellen als jouw bedrijf dat moet volgens de GDPR.

Wanneer je persoonsgegevens mag verwerken

In artikel 6 van de GDPR staat wanneer je persoonsgegevens mag verwerken. Houd dit lijstje bij de hand als je met persoonsgegevens te maken hebt. Voldoe je niet aan één of meer van deze criteria? Dan loop je het risico op een boete of andere sanctie. Je mag persoonsgegevens verwerken in de volgende gevallen:

  • De betrokkene heeft je specifieke, ondubbelzinnige toestemming gegeven om de gegevens te verwerken. Een voorbeeld hiervan is dat ze zich hebben aangemeld voor het ontvangen van jouw nieuwsbrieven.
  • Verwerking is noodzakelijk voor het voorbereiden of uitvoeren van een overeenkomst. De betrokkene is partij bij die overeenkomst. Stel dat je een nieuwe werknemer aanneemt. In het arbeidscontract neem je zijn of haar gegevens op. Pas na ondertekening van deze overeenkomst is de betrokkene in dienst.
  • Je moet de persoonsgegevens verwerken om je aan een wettelijke verplichting te houden.
  • Je moet de gegevens verwerken om iemands leven te redden.
  • Verwerking is noodzakelijk voor het uitvoeren van een taak van algemeen belang. Of om een officiële functie uit te oefenen. Een voorbeeld is een stembureau-medewerker die een stembiljet aanneemt en controleert.
  • Je hebt een gerechtvaardigd belang om iemands persoonsgegevens te verwerken. Gerechtvaardigd belang is een breed en flexibel begrip. Toch gaan de fundamentele rechten en vrijheden van de betrokkene altijd voor. Dat geldt nog meer als het om de persoonsgegevens van een kind gaat.

Weet je op basis waarvan je persoonsgegevens verwerkt? Zorg dat voor een goede documentatie. Laat ook aan de betrokkene weten dat je zijn of haar persoonsgegevens verwerkt. Daarbij vermeld je ook waarom. De reden veranderen mag niet zomaar. Je moet een goede reden hebben en dit ook weer delen met de betrokkene.

Zo krijg je toestemming van de betrokkene

Er zijn strikte nieuwe regels over hoe toestemming van een betrokkene eruit moet zien. Voldoet de goedkeuring hier niet aan, dan is er geen geldige grondslag. Voldoet de goedkeuring hier niet aan, dan is er geen geldige grondslag.

Dit zijn de eisen:

  • De toestemming moet vrijelijk gegeven, precies en ondubbelzinnig zijn. Ook moet de betrokkene goed geïnformeerd zijn.
  • Verzoeken om toestemming moet je duidelijk onderscheiden van andere zaken. Ook moet je ze presenteren in heldere en duidelijke taal.
  • Betrokkenen kunnen altijd eerder gegeven toestemming intrekken. Dat kan geheel of deels. Dat besluit moet je respecteren.
  • Kinderen onder de 13 jaar kunnen alleen toestemming geven via een van hun ouders.
  • Je moet het bewijs van de toestemming bewaren.

De rechten van betrokkenen

In de GDPR staan verschillende rechten voor betrokkenen. Op die manier hebben ze meer controle over de persoonsgegevens die zij aan organisaties geven. Als bedrijf is het belangrijk om van die rechten op de hoogte te zijn. Zo niet, dan loop je het risico inbreuk op de rechten van betrokkenen te maken.

Rechten die betrokkenen hebben, zijn:

  • het recht om informatie te krijgen;
  • het recht op toegang tot hun persoonsgegevens;
  • het recht op rectificatie;
  • het recht op verwijdering;
  • het recht om de verwerking te beperken;
  • het recht op dataportabiliteit;
  • het recht om bezwaar te maken;
  • rechten over geautomatiseerde besluitvorming en profilering.

Het beschermen van persoonsgegevens

Als bedrijf moet je veilig met persoonsgegevens omgaan. Dat doe je door zogenaamde ‘passende technische en organisatorische maatregelen’ toe te passen.

Technische maatregelen kunnen van alles zijn. Denk aan het gebruiken van een twee-staps-authenticatie als jij of een medewerker persoonsgegevens inziet. Of door overeenkomsten te sluiten met cloudproviders die end-to-end encryptie gebruiken.

Organisatorische maatregelen zijn zaken als personeelstrainingen of het toevoegen van een privacybeleid aan het handboek voor personeel. Ook valt hier het beperken van de toegang tot persoonsgegevens onder. Alleen die werknemers in jouw organisatie die deze nodig hebben, kunnen ze inzien en gebruiken.

Wat als je een datalek hebt

Als je een datalek hebt, heb je 72 uur om de Autoriteit Persoonsgegevens te informeren. Doe je dat niet? In dat geval riskeer je maatregelen. Een boete bijvoorbeeld. Maak je gebruik van versleuteling of een andere technologische beveiliging waardoor de persoonsgegevens niet leesbaar zijn voor ongewenste indringers? Dan geldt deze meldingsplicht niet. Hiervoor gelden wel strenge voorwaarden.

Functionaris gegevensbescherming

In drie situaties moet je als organisatie verplicht een FG aanstellen.

  • Als het gaat om overheden en publieke organisaties, behalve rechtbanken. Het kan bijvoorbeeld gaan om de rijksoverheid, gemeenten en provincies, zorg- en onderwijsinstellingen. 
  • Een organisatie doet regelmatig en stelselmatig observaties op grote schaal, zoals bijvoorbeeld Google doet. 
  • Een organisatie verwerkt op grote schaal bijzondere persoonsgegevens, zoals een tandartspraktijk.

Je kan er ook zelf voor kiezen om een Functionaris Gegevensbescherming (FG) aan te wijzen. Dat kan voordelen hebben. Zo weet de FG alles over de (betekenis van de) GDPR. Ook weet die hoe je de GDPR moet toepassen binnen je bedrijf. De FG adviseert en traint medewerkers over hun verantwoordelijkheden. Ook voert die audits uit en bewaakt die de naleving van de GDPR. Tot slot is de FG de contactpersoon voor toezichthouders.

Wees proactief

Bij elke handeling die je met persoonsgegevens verricht, moet je alert zijn op de privacywetgeving. Dat geldt ook voor nieuwe bedrijfsactiviteiten. Denk aan het lanceren van een nieuwe app. Je moet stilstaan bij welke persoonsgegevens je met de app verwerkt. Zorg er ook voor dat de hoeveelheid verzamelde data zo minimaal mogelijk is. Daarnaast moet je de gegevens zo goed mogelijk beveiligen.

De GDPR bestaat uit 88 pagina’s tekst. Logisch dat je niet alles daaruit weet en onthoudt. Om er toch voor te zorgen dat je aan alle privacyregels voldoet, biedt AVG-Programma uitkomst. Stap voor stap doorloop je in het online portaal alle AVG-aandachtspunten. Video’s en voorbeelden maken het nog inzichtelijker. Ook krijg je juridische documenten om jouw bedrijf privacyproof te maken. Zo weet je zeker dat jij AVG OK bent en voorkom je boetes.
Ben je benieuwd of jouw bedrijf aan de GDPR voldoet? Ontdek het via deze gratis checklist.

Veelgestelde vragen over de GDPR

Wat is een verwerkersovereenkomst?

Je sluit een verwerkersovereenkomst als je een andere organisatie inschakelt om persoonsgegevens voor jouw bedrijf te verwerken. Denk aan een boekhouder en een externe helpdesk. Hierin spreek je af dat de verwerker de persoonsgegevens nooit gebruikt voor zichzelf. Bovendien garandeert de verwerker dat die aan alle eisen uit de wet voldoet. Als verwerkingsverantwoordelijke blijft je hoe dan ook altijd verantwoordelijk voor de naleving van de GDPR.

Ben ik verwerkingsverantwoordelijke of verwerker?

Of jouw organisatie verwerkingsverantwoordelijke of verwerker is, is niet altijd klip en klaar. De verantwoordelijke geeft opdracht en behoudt zeggenschap. De Autoriteit Persoonsgegevens biedt informatie die je helpt om te bepalen wat jouw rol is.

Wat doet de Autoriteit Persoonsgegevens bij een inbreuk?

Er zijn vijf mogelijke sancties. Een boete is financieel de meest zware. De hoogte van een boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Andere maatregelen zijn een last onder dwangsom, een berisping, een verwerkingsverbod of een waarschuwing. De toezichthouder is niet tot het opleggen van een maatregel verplicht. Maar je loopt natuurlijk wel een ernstig risico als je de GDPR overtreedt.

Lees ook

Heb je een website en verwerk je persoonsgegevens van je bezoekers of klanten? In deze situatie is het verplicht om daar transparant over te zijn. Dit kan door een privacyverklaring op je website te plaatsen. Lees meer over het maken van een privacyverklaring.

Meer nieuws

AVG voor webwinkels: privacy in de praktijk

Er gelden strenge regels voor webshops als het gaat om het verzamelen, verwerken en bewaren van persoonsgegevens. In dit artikel kijken we naar de belangrijkste eisen. Lees meer

Wat doet een Functionaris Gegevensbescherming?

Wat doet een Functionaris Gegevensbescherming eigenlijk, en waarom is het relevant voor ondernemers? In dit artikel gaan we dieper in op de rol van de FG. Lees meer

Wat zijn de plichten van de verwerker en de verwerkingsverantwoordelijke?

De verwerkersovereenkomst regelt de samenwerking tussen de verwerkingsverantwoordelijke en de verwerker. Maar wie heeft welke plichten? Lees meer