How-to: Persoonsgegevens en de GDPR-wet
Op 25 mei 2018 gaat de nieuwe privacywetgeving in Nederland in. Het is belangrijk om te weten hoe je jouw website of webshop klaar moet stomen om een boete te voorkomen. Maar wat is dit eigenlijk voor wet? Waarom is het belangrijk en wat betekent het voor bedrijven?
Wat is de GDPR-wet?
De GDPR-wet moet ervoor zorgen dat een bedrijf de privacyrechten van de individuele consument respecteert. De GDPR-wet is dan ook relevant voor alle bedrijven en organisaties die persoonlijke gegevens van inwoners van de Europese Unie verzamelen, verwerken en gebruiken. Ondernemers hebben veel meer te maken met deze gegevens dan vaak beseft wordt.
Wat zijn persoonsgegevens?
Volgens de WBP (Wet Bescherming Persoonsgegevens) en de AP (Autoriteit Persoonsgegevens) zijn persoonsgegevens alle gegevens die kunnen herleiden tot een natuurlijk identificeerbare persoon.
Een voorbeeld
Je organisatie heeft een applicatie gemaakt waarin mensen hun calorie-inname kunnen opslaan, om het gewichtsverlies bij te houden. Is het enige wat opgeslagen wordt in de applicatie het gewicht van de gebruiker? Dan gaat het dus niet over een persoonsgegeven. Het gewicht behoort tot data dat te koppelen is aan een bepaald persoon, maar er is echter geen verdere connectie met de gebruiker en er kan dus nooit achterhaald worden bij welke persoon het hoort.
Maar dan besluit je, als uitbreiding, een Premium optie aan te bieden. Hierin moet de gebruiker zich registreren met een naam en een e-mailadres. Hoewel nog steeds alleen het gewicht van de gebruiker wordt opgeslagen in de applicatie, staat deze nu in verband met een naam en e-mailadres. Deze combinatie zorgt ervoor dat het gewicht herleid kan worden naar de natuurlijk identificeerbare persoon. Je hebt nu te maken met een persoonsgegeven.
GDPR-wet naleven
Als een bedrijf per 25 mei 2018 niet voldoet aan de GDPR-wet, dan kan de AP een boete opleggen van maximaal 10 miljoen euro, of een boete van 2 procent van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen. Overtreedt een verantwoordelijke de grondslagen van de GDPR-wet of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro of van 4 procent van de wereldwijde jaaromzet.
Hoe zorg je ervoor dat je organisatie de GDPR-wet goed naleeft?
Stap 1: Verantwoordingsplicht
Als organisatie moet je in staat zijn om bij de Autoriteit Persoonsgegevens (AP) aan te geven dat je organisatie voldoet aan de privacyregels. Je moet onder andere kunnen laten zien dat je organisatie:
- Rechtmatige gronden heeft voor de persoonsgegevens
- Transparant is in het gebruik van de persoonsgegevens (privacy policy)
- Laten zien dat de persoonsgegevens worden gebruikt voor de bij de betrokkene bekende doelen
Hiernaast is het van belang dat je organisatie procedures heeft voor wanneer een betrokkene inzicht in zijn of haar gegevens wil.
Stap 2: Regels omtrent verwerking van persoonsgegevens
Persoonsgegevens mogen pas verwerkt worden als de actie gebaseerd kan worden op één van de zes grondslagen die in de GDPR-wet staan. Deze zes grondslagen zijn:
- Toestemming van de betrokken persoon
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting
- De gegevensverwerking is noodzakelijk ter bescherming van vitale belangen
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen
Hoe werkt dit in de praktijk?
Stel, je hebt een webshop. Dan is voor het verzenden van producten, de tweede grondslag de reden om persoonsgegevens te verwerken. Je hebt namelijk een overeenkomst met de betrokkene om het product aan de deur af te leveren. Let wel, als je deze data bewaart voor andere doeleinden zoals een nieuwsbrief versturen, dan dien je hier apart toestemming voor te vragen. Je hebt deze gegevens immers in eerste instantie vergaart om een overeenkomt uit te voeren (lees: bezorgen van het product).
Uitzondering bevestigt de regel: bijzondere en strafrechtelijke gegevens
Heb je te maken met ‘normale’ persoonsgegevens, dan is één van de zes bovenstaande grondslagen genoeg reden om persoonsgegevens te mogen verwerken. Heb je echter te maken met bijzondere of strafrechtelijke persoonsgegevens, dan mogen deze niet verwerkt worden tenzij deze uitzonderingen gelden. De volgende gegevens vallen binnen bijzondere persoonsgegevens:
- Godsdienst of levensovertuiging
- Ras
- Politieke voorkeur
- Gezondheid
- Seksualiteit
- Lidmaatschap van een vakbond
- Strafrechtelijk verleden
- BSN
Wanneer je je niet kan beroepen op de uitzonderingen die zijn ingesteld, is het niet toegestaan om bijzondere gegevens te verwerken.
Stap 3: Rechten betrokkene
Nadat is vastgesteld dat je organisatie persoonsgegevens mag verwerken, is het belangrijk om procedures op te zetten om aan de rechten van de betrokkenen van wie de persoonsgegevens zijn, te voldoen. De rechten waar een bedrijf rekening mee moet houden zijn:
- Het recht op informatie over de verwerkingen
- Het recht op inzage in zijn gegevens
- Het recht op correctie van de gegevens als deze niet kloppen
- Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’
- Het recht op beperking van de gegevensverwerking
- Het recht op verzet tegen de gegevensverwerking
- Het recht op overdracht van zijn gegevens (dataportabiliteit)
- Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.
Voor elk van deze situaties moet er binnen een organisatie een procedure zijn. Voor sommige onderdelen zullen ook technische maatregelen genomen moeten worden. Ook het recht op overdracht van gegevens (dataportabiliteit) kan zorgen voor wat nodige technische aanpassingen. Het is hier van belang dat de betrokkene alle gegevens die van hem of haar opgeslagen worden, in een gangbaar formaat (JSON, XML) ontvangt.
Stap 4: Verwerkersovereenkomsten
Om volledig te voldoen aan de regels, zullen er ook verwerkersovereenkomsten opgesteld moeten worden. Dit zijn overeenkomsten die je afsluit met partijen die, in opdracht van jouw organisatie, de data verwerken. Hierin moet minstens het volgende opgenomen zijn:
- Het onderwerp en de duur van de verwerking
- De aard en het doel van de verwerking
- Het soort persoonsgegevens en de categorieën van betrokkenen
- De rechten en verplichtingen van de verwerkingsverantwoordelijke
Dit document is bedoeld om te garanderen dat de verwerkers zich aan dezelfde standaarden houden die jij handhaaft.
Een datalek. En dan?
De GDPR-wet en de bijbehorende processen, regels en eisen, moeten uiteraard een datalek voorkomen. De kans is echter altijd aanwezig dat er ondanks alle moeite toch een datalek ontstaat. Wat wordt er dan vanuit de GDPR-wet verwacht?
“Een inbreuk in verband met persoonsgegevens, beter bekend als een datalek, is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.”
Het gaat hierbij om alle persoonsgegevens. Het is dus niet enkel een datalek die onstaat wanneer je website gehackt wordt en informatie van klanten openbaar wordt, maar ook bijvoorbeeld om een laptop die wordt achtergelaten met een overzicht van persoonsgegevens open, waarbij de kans groot is dat iemand het gezien heeft. Het gaat dus niet enkel om kwaadwillende datalekken, maar om alle datalekken.
In principe moet elk datalek binnen 72 uur na ontdekking gemeld worden bij de AP (enkel een datalek waarbij het risico dermate laag wordt geacht, hoeft niet gemeld te worden). Datalekken moeten ook bij de betrokkene gemeld worden. Tenzij:
- Er passende beschermingsmaatregelen zijn genomen (alle data zijn bijvoorbeeld encrypted opgeslagen)
- Er, na het datalek, maatregelen zijn genomen waardoor de risico’s voor de betrokkene zijn weggenomen
- De mededeling van het datalek aan de betrokkene onevenredig veel inspanning zou kosten. Wanneer dit het geval is, moet het nog steeds bekend gemaakt worden, maar dan volstaat een publieke melding.
Wat als jij niet voldoet aan de GDPR wet?
Als jouw bedrijf per 25 mei 2018 niet voldoet aan de GDPR wet, kan er een enorme boete ten laste worden gelegd. Kom jij als verantwoordelijke de in de wet gestelde verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Overtreedt een verantwoordelijke de grondslagen van de GDPR wet? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Hoe weet ik of ik voldoe aan de GDPR wet?
Het is voor elke ondernemer van groot belang dat er nauwkeurig wordt gekeken of jij met persoonsgegevens te maken hebt, met welke gegevens en of jij hier een volgens de wet gegronde redenen voor hebt.
Jij hebt een GDPR scan nodig die deze inventarisatie voor jou regelt en de risico’s in kaart brengt. In deze scan worden de persoonsgegevens die gelden en benodigde maatregelen vastgelegd. Op basis van het rapport, komen er actiepunten naar voren. Denk hierbij aan bijvoorbeeld;
- Het opzetten van nieuwe procedures omtrent data en datalekken
- Bewaartermijnen van data vastleggen
- Privacy policy updaten danwel opstellen
- Bewerkersovereenkomsten met derde partijen opstellen
Gelukkig sta je er niet alleen voor. Er zijn voldoende security-experts in de markt aanwezig met die kunnen ondersteunen bij het scannen, in kaart brengen en afdichten van de risico’s omtrent de GDPR. Creative CT is zo’n expert.