Wat is General Data Protection Regulation of GDPR

Op vrijdag 25 mei 2018 is het D -day bij de overheid, bedrijven en andere organisaties, .... maar ook in bijzonder in onze politiezone.

Vanaf dan treedt de General Data Protection Regulation of GDPR officieel in werking. Het is alvast een uitdaging om compliant te raken met de nieuwe privacywetgeving.

Wat is de GDPR?

De GDPR of de Algemene Verordening Gegevensbescherming (AVG) is een geheel aan regels om de gegevens van Europese burgers beter te beschermen. Deze nieuwe privacywetgeving verandert de nationale reglementeringen van alle Europese Lidstaten tot één nieuwe privacybeschermingswet.

In België zal de GDPR vanaf 25 mei 2018 de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, vervangen. Het doel van de GDPR is om een veel betere bescherming te garanderen aan natuurlijke personen, bij de verwerking van hun gegevens.

De wetgeving werd op het einde van 2015 goedgekeurd en bestaat uit twee delen: de Verordening (Regulation), die van toepassing is op de bedrijfswereld, en de Richtlijn (Directive), die vooral betrekking heeft op de overheidsdiensten zoals politie en justitie.

Om fragmentatie en onduidelijkheid te vermijden is de GDPR geen richtlijn, maar een verordening, wat betekent dat de tekst overal op dezelfde wijze wordt toegepast.

GDPR in 't kort

De GDPR voorziet ondermeer in:

  • Bescherming van persoonlijke data van de Europese burger;
  • Maatregelen tegen hackers en datalekken;
  • Is in voege op 25 mei 2018;
  • Procedures voor dataverzameling en opslag van persoonlijke gegevens;
  • Het vragen van toestemming om gegevens te verzamelen en gebruiken;
  • Het feit dat het individu het recht heeft om 'vergeten te worden';
  • Het voorzien in verhoogde beveiligingsmaatregelingen;
  • Het feit dat een datalek dient te worden gemeld binnen 72 uur;
  • Het feit dat toezichthoudende autoriteiten boetes kunnen opleggen;
  • De vereiste tot aanstelling van een DPO (Data Protection Officer), het bijhouden van een verwerkingsregister, ...kortom, het voorzien in een informatieveiligheidsbeleid.

Persoonsgegevens

Er was dringend nood aan modernisering om ontwikkelingen zoals cloud en sociale media en de enorme hoeveelheden data die daarmee gepaard gaan - het hoofd te bieden. De nieuwe GDPR is van toepassing op alle automatische en digitale verwerkingen van persoonsgegevens.

Concreet zullen overheden, bedrijven en andere organisaties die persoonsgegevens verzamelen, volledig moeten voldoen aan de nieuwe set regels van de GDPR.

Ook de politiezones dienen zich bijgevolg aan de nieuwe regelving te houden en deze toe te passen in zijn werking.

Met 'persoonsgegevens' wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden, zoals een naam, foto of telefoonnummer.

Over deze data moet in bijzonder transparantie gelden. Overheden, bedrijven en andere organisaties moeten burgers informeren hoe de gegevens worden verzameld en verwerkt, en de toezichthoudende autoriteit binnen de 72 uur melden wanneer er zich een datalek voordoet. Ook krijgen burgers meer autonomie over hun persoonsgegevens. Als ze willen dat hun data gewist of overgezet wordt naar een ander bedrijf (bijvoorbeeld bij het wisselen van telecomprovider), dan moeten de desbetreffende organisaties hiermee in stemmen.

Data Protection Officer

De Data Protection Officer of de 'Functionaris voor gegevensbescherming', kortweg DPO is degene die controleert of alle data naar behoren wordt bewaard, gebruikt en gedeeld.

Hij adviseert enerzijds hoe de politiezone compliant wordt en welke rechten en plichten deze heeft in verband met de bescherming van data. Daarnaast heeft hij een controlerende functie: hij moet erop toezien dat de wetgeving wordt nageleefd. Hij moet onder meer nakijken of de data adequaat wordt bewaard, of het personeel voldoende wordt geïnformeerd en of de nodige audits worden gehouden.

Ten slotte fungeert hij als contactpunt voor de externe toezichthoudende autoriteiten. Wanneer de politiezone bijvoorbeeld te maken krijgt met een datalek, dan staat hij de Gegevensbeschermingsautoriteit te woord.

Gegevensbeschermingsautoriteit

Op wetgevend vlak zijn eveneens initiatieven genomen om rond te raken met de omzetting van de Europese privacy-verordening. Zo werd eind 2017 de wet goedgekeurd die de nieuwe structuur en bevoegdheden vastlegt van de nieuwe Gegevensbeschermingsautoriteit. Deze vervangt vanaf 25 mei 2018 de huidige Privacycommissie of languit de Commissie voor bescherming van de persoonlijke levenssfeer of CBPL.

Ook is op 16 maart 2018 de kaderwet - De Backer goedgekeurd, die de huidige privacywet van 8 december 1992 vervangt. Dit is het sluitstuk van de omzetting van de Europese verordening."

Monsterboetes

Overheden, bedrijven en andere organisaties die aan de GDPR verzuimen, kunnen zware repercussies verwachten. Wanneer de verzamelde data niet correct wordt beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico- assessment houdt, kan de boete oplopen tot twee procent van de jaarlijkse omzet.

Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst vier procent van de omzet, met een maximum van 20 miljoen euro.

Je vraag blijft onbeantwoord? Contacteer ons via het contactformulier of telefonisch via 016 634363.