Wat is GDPR ?
GDPR staat voor ‘General Data Protection Regulation’ (in het nederlands AVG : Algemene Verordening Gegevensbescherming). Dit is een Europese wetgeving rond het beheer en de beveiliging van persoonsgegevens. Deze verordening is op 24 mei 2016 in werking getreden met een overgangsperiode van 2 jaar waardoor alle organisaties tot 25 mei 2018 de tijd krijgen om zich in regel te stellen met de GDPR-vereisten.
Iedere organisatie die persoonsgegevens verwerkt(*) moet eraan voldoen (ook organisaties buiten de EU die EU persoonsgegevens verwerken). Kort en bondig samengevat omvat GDPR vereisten met betrekking tot:
- rechten van individuen (ook wel data subjecten genoemd)
- het garanderen van de veiligheid van persoonsgegevens
- de verplichting om aan te tonen dat een organisatie de GDPR-vereisten naleeft
- preventie, detectie en meldig van datalekken (= verantwoordingsplicht)
Wie speelt een rol bij GDPR ?
Wat zijn persoonsgegevens ?
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (= data subject) wordt beschouwd als persoonsgegeven. Voorbeelden: familie en demografische gegevens, gedragspatronen en interesses, gegevens over huis en werk, …
Bepaalde gegevens zoals b.v. ras of etnische afkomst, lidmaatschap van een vakbond, religieuze of levensbeschouwelijke overtuigingen, biometrische gegevens, … worden als gevoelige persoonsgegevens beschouwd. Ook gerechtelijke gegevens worden als een afzonderlijke categorie beschouwd waar extra aandacht dient te worden besteed qua beveiliging.
Wat moet je voor GDPR doen ?
Om aan de GDPR-vereisten te voldoen, dient een organisatie meerdere aspecten van zijn werking te herbekijken vanuit verschillende invalshoeken (o.a.juridisch, technisch en compliance).
Op heel wat websites kan je informatie vinden m.b.t. tot wat GDPR nu precies inhoud en wat een organisatie dient te doen om zich in regel te stellen met GDPR. Hierbij de website van Belgische commissie voor de bescherming van de persoonlijke levenssfeer (CBPL): www.privacycommission.be/nl/algemene-verordering-gegevensbescherming. Voor wie de wettekst zelf zoekt (in gelijk welke Europese taal): http://eur-lex.europa.eu/legal-content/en/TXT.
Hoe de GDPR-vereisten implementeren ?
Hoe een organisatie GDPR dient te implementeren wordt zelden uit de doeken gedaan. Dit is natuurlijk ook geen groot geheim. Concreet dient een organisatie mensen – intern of extern – met de juiste competenties en de juiste kennis aan het werk te zetten met de juiste GDPR-tools.