4 essentiële veranderingen door de GDPR

Laatste update 04 juli 2022

De hype voorbij

In de nieuwe Europese wetgeving voor de bescherming van persoonsgegevens is veel aandacht voor dataprotectie. Er zijn vier belangrijke wijzigingen, volgens Kalliopi Spyridaki.

De General Data Protection Regulation (GDPR), door de Europese Commissie begin dit jaar aangenomen, wordt van kracht in mei 2018. De GDPR is de opvolger van de European Data Protection Directive uit 1995 en regelt de bescherming van persoonlijke data.

Definitie

De manier waarop de term ‘persoonsgegevens’ wordt gedefinieerd, is een belangrijk onderdeel van deze nieuwe wetgeving. In de GDPR wordt onder persoonsgegevens verstaan: alle data die een individu, zowel direct als indirect, kan identificeren. Dit is nogal een brede definitie en bovendien verwachten specialisten dat het in de toekomst alleen nog maar breder geïnterpreteerd zal worden. Onder de nieuwe wet vallen nu in ieder geval ook bescherming van informatie verkregen uit IP-adressen, locatie-data en andere factoren die een persoon (digitaal) kunnen identificeren.

Indicator

De brede definitie van ‘persoonsgegevens’ is een goede indicator van de toon van de nieuwe wetgeving, waarbij data wordt gezien als een waardevol en belangrijk onderwerp. Het is natuurlijk ook niet toevallig gaat wetgeving nu van kracht wordt, in een tijd waarin we te maken hebben met een technologische trends, zoals cloud computing, social, mobile en het Internet of Things. Het verzamelen van informatie en slimme data-analyse is voor veel organisaties van onderscheidend strategisch belang geworden. Je zou ook kunnen zeggen; de Europese wetgever is de realiteit aan het inhalen.

Hype

Als de bestaande wetgeving de fundering heeft gelegd voor databescherming, dan is de GDPR het solide huis dat hier bovenop wordt gebouwd. De laatste jaren zijn er verschillende ontwikkelingen geweest op het gebied van data-privacy – niet in de laatste plaats het ongeldig verklaren van Safe Harbour – die een hoop hype over de GDPR hebben opgeleverd. Als resultaat hiervan hebben veel organisaties serieuze zorgen over de nieuwe wetgeving, terwijl daar eigenlijk geen noodzaak voor is, stelt Kalliopi Spyridaki, Chief Privacy Strategist Europe bij SAS: “De regels zijn strenger, maar de basisprincipes zoals we ze al jaren kennen, blijven hetzelfde. In die zin is de GDPR meer een zaak van het herzien van compliance-procedures, dan het bouwen van iets nieuws.”

Toch zijn er volgens Spyridaki vier elementen die zullen veranderen met de introductie van GDPR.

1. Strengere naleving

Met de nieuwe regelgeving, wordt de naleving van deze regels ook verder geïntensiveerd. De toezichthouders hebben meer middelen tot hun beschikking en zullen op geregelde basis samenkomen in een pan-Europese organisatie. Daarnaast worden de boetes flink, tot wel 4 procent van de jaarlijkse wereldwijde omzet van een organisatie. Met dit soort maatregelen en sancties, schudt de GDPR automatisch organisaties in alle sectoren wakker. “In Europa hebben we alleen in het mededingingsrecht vergelijkbare boetes. De angst om beboet te worden, zou overigens niet de voornaamste reden mogen zijn voor compliance, maar het is zeker een drijfveer om de aandacht erbij te houden. Vijf jaar geleden stond data-privacy ergens onderaan op de compliance-agenda, vandaag de dag staat het bovenaan.”

2. Meer verantwoordelijkheid voor organisaties

De GDPR geeft organisaties een grotere verantwoordelijkheid voor de bescherming van persoonsgegevens. Ze hebben bewijslast wanneer het aankomt op hoe en hoe goed persoonsgegevens zijn beschermd. Nu is de autorisatie van persoonsgegevens een relatief formeel proces: welke data-type gebruik je? En stuur je dit door naar andere partijen? In de toekomst zal het meer gaan over hoe business-processen zijn georganiseerd, in plaats van het formeel verkrijgen van een autorisatie. Met dit in het achterhoofd, is het zeker aan te raden om iemand – binnen of buiten de organisatie – te hebben die data-privacy begrijpt. Een specialist die weet hoe je veranderingen doorvoert en aan de wetgeving blijft voldoen.

3. ‘Privacy by design’

De eerste stap voor elke organisatie is om de datastromen in kaart te brengen. Met ‘privacy by design’ moet elke afdeling binnen een organisatie weten welke data er aanwezig is en hoe dit wordt gebruikt. Als alle informatie is geïdentificeerd, dan weet je waar persoonsgegevens zich in de organisatie bevinden en hoe je deze data kunt beschermen. “Naar data kijken vanuit een privacy-oogpunt, van productontwikkeling tot marketing, is essentieel om te voldoen aan de nieuwe regelgeving. De meeste organisaties hebben al een oplossing in huis om persoonsgegevens te identificeren. En er zijn gelukkig al heel wat leveranciers, zoals SAS, die ondersteuning kunnen bieden om dit proces uit te breiden voor compliance onder de GDPR.”

4. Individu op de eerst plaats

De nieuwe wetgeving zet de klant centraal op het gebied van databescherming. Om een voorbeeld te geven, als een klant wil wijzingen van mail-provider, dan moet het mogelijk zijn om alle data van partij 1 naar partij 2 te verplaatsen. Nu kunnen klanten al vragen om het verwijderen van hun persoonsgegevens, maar de GDPR breidt dit recht uit met het zogeheten ‘right to be forgotten’. “Naast compliance zal de grootste verandering de houding ten opzichte van privacy zijn. Privacy wordt een belangrijk onderdeel bij het winnen van consumentenvertrouwen, omdat klanten veel waarde hechten aan privacy,” stelt Spyridaki.