Zes mythes over GDPR

    6 broodje-aapverhalen over de Algemene verordening gegevensbescherming

    Op 25 mei 2018 wordt de Algemene Verordening gegevensbescherming (AVG) van kracht, en veel organisaties moeten veel moeite doen om de fijnere punten van deze wetgeving te begrijpen. Deze verordening heeft als doel om de persoonlijke gegevens van inwoners van de Europese Unie (EU) te beschermen door organisaties die deze verzamelen meer aansprakelijk te stellen voor de beveiliging hiervan.

    Nu de deadline snel dichterbij komt, doet er een schokkende hoeveelheid misleidende feiten de ronde. Dit zijn enkele van de populaire mythes over de AVG en de waarheid over elk daarvan.

    Mythe 1: De AVG is niet van toepassing voor organisatieen buiten de EU.

    Dat is wel het geval. Het is inderdaad juist dat de AVG de persoonlijke gegevens van inwoners van de EU betreft; echter, wat de verordening daadwerkelijk reguleert is het verzamelen en verwerken van deze gegevens, waar dit ook plaatsvindt. Indien u besluit om dit niet na te komen, zal het feit dat uw organisatie zich bijvoorbeeld in de VS bevindt u niet beschermen tegen een boete van ongeveer $ 24 miljoen (€ 20 miljoen), of 4% van de jaarlijkse wereldwijde omzet van uw organisatie.

    Mythe 2: Alle persoonlijke gegevens zijn hetzelfde.

    In artikel 9 van de AVG worden verschillende soorten gevoelige gegevens uiteengezet die niet mogen worden verwerkt. Deze worden gezien als uitzondering op de algemene gegevens waar in de rest van de tekst naar wordt verwezen, en omvat gegevens “waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en ... genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid”. Indien uw organisatie dit type bijzonder gevoelige informatie verwerkt, dient u zich aan extra vereisten te houden.

    Mythe 3: De AVG geldt niet voor gegevens die al zijn verzameld.

    Zolang de verzamelde informatie wordt aangemerkt als persoonlijke gegevens over een inwoner van de EU, vallen deze onder de verordening - ongeacht het tijdstip waarop ze zijn verzameld. Stel bijvoorbeeld dat een handjevol inwoners van Frankrijk zich in 2014 heeft ingeschreven voor uw e-mailnieuwsbrief, en deze adressen nog steeds in de database van uw organisatie staan. Per 25 mei 2018 dient u te kunnen bewijzen dat deze betrokkenen hun toestemming hebben gegeven, zoals uiteengezet in artikel 7 van de AVG. Daarnaast hebben deze inwoners hetzelfde recht op rectificatie, verwijdering, beperking van verwerking en gegevensoverdraagbaarheid als degenen waarvan de gegevens na de ingang van de AVG worden verzameld.

    Mythe 4: Uw cloudserviceleverancier dient ervoor te zorgen dat uw gegevens voldoen aan de verordening.

    De datachain begint bij uw organisatie, maar zelfs als u gebruikmaakt van een derde partij, wordt u nog steeds verantwoordelijk gehouden voor het voldoen aan de AVG-vereisten. In het geval van een inbreuk op de gegevens zijn u en uw cloudserviceleverancier beiden verantwoordelijk voor de naleving van het AVG-beleid. Daarom is het cruciaal dat u documentatie hebt van hun gegevensbeschermingsbeleid en -processen met betrekking tot deze verordening.

    Mythe 5: Elke organisatie moet een Data Protection Officer aanwijzen.

    Uw organisatie is in slechts drie situaties verplicht om een Data Protection Officer (DPO) aan te wijzen:

    • Als u een openbare autoriteit of instantie bent die gegevens verwerkt
    • Als uw kernactiviteiten uitgebreide, regelmatige monitoring van betrokkenen vereist
    • Als u op grote schaal gevoelige informatie verwerkt (besproken onder mythe 4)

    Deze beschrijvingen zijn nogal vaag. In de verordening wordt bijvoorbeeld niet duidelijk omlijnd wat verwerking van gegevens op grote schaal precies inhoudt. Maar dit zijn enkele aspecten om in gedachten te houden: Als uw organisatie een audit ondergaat voor compliance en de auditor ontdekt dat u een DPO zou moeten hebben, maar u hebt er geen, kunt u een behoorlijke boete verwachten.

    Zelfs als uw organisatie net op de grens zit van al of niet een DPO te moeten hebben, of niet onder een van de hierboven genoemde categorieën valt, kan het de moeite lonen om een Data Protection Officer aan te stellen. Het complianceproces kan lang en verwarrend zijn - een DPO kan een belangrijke rol spelen in een geslaagde implementatie van deze verordening.

    Mythe 6: Boetes zijn de grootste bedreiging voor uw organisatie.

    Zeker, een boete van $ 24 miljoen is voor veel organisatieen genoeg reden om te zorgen voor compliance, maar er is nog een andere reden waar organisaties op zouden moeten focussen. De AVG is de weerslag van een duidelijke verandering in de publieke opinie ten opzichte van de bescherming van persoonlijke informatie - klanten en werknemers willen meer controle over wie hun gegevens heeft en wat ermee wordt gedaan.

    De AVG en de grote boetes komen het meest in het nieuws, maar organisatieen moeten niet vergeten dat de publieke opinie minstens zo belangrijk is. Organisaties die deze nieuwe regels voor gegevensbescherming vol enthousiasme omarmen, halen een wit voetje bij de klant. Zo vervreemdt een organisatie zich niet van haar klanten.