De Algemene Verordening Gegevensbescherming (GDPR) is een verordening in de wetgeving van de Europese Unie (EU) over gegevensbescherming en privacy voor alle personen binnen de EU. Ze werd ontworpen om de wetgeving inzake gegevensprivacy in heel Europa te harmoniseren, om de gegevensprivacy van alle EU-burgers te beschermen en te versterken en om de manier waarop organisaties in de hele regio gegevensprivacy benaderen opnieuw vorm te geven. De GDPR is vooral bedoeld om burgers en inwoners weer zeggenschap te geven over hun persoonsgegevens en om de regelgeving voor het internationale bedrijfsleven te vereenvoudigen door de regelgeving binnen de EU gelijk te trekken.
De GDPR heeft de volgende doelstellingen: de fundamentele rechten en vrijheden van personen beschermen, het vrije verkeer van persoonsgegevens binnen de EU waarborgen, ervoor zorgen dat persoonsgegevens rechtmatig en eerlijk worden verwerkt, de belangen van de betrokkenen beschermen en ervoor zorgen dat er passende technische en organisatorische maatregelen worden genomen om persoonsgegevens te beschermen.
Wat zijn de belangrijkste elementen van de GDPR?
De GDPR bestaat uit zes kernelementen. Dit zijn toepassingsgebied, rechtsgrondslag voor verwerking, doelbinding, gegevensminimalisatie, nauwkeurigheid, opslagbeperking, integriteit en vertrouwelijkheid. Elk element biedt een reeks gegevensbeschermingsbeginselen en -regels die organisaties moeten volgen om aan de GDPR te voldoen.
De GDPR wordt gehandhaafd door het Europees Comité voor gegevensbescherming (EDPB), dat bestaat uit vertegenwoordigers van elke EU-lidstaat. De EDPB heeft de bevoegdheid om boetes en sancties op te leggen aan organisaties die de GDPR niet naleven. Organisaties moeten zich ervan bewust zijn dat zij aansprakelijk zijn voor elke datalek of misbruik van persoonsgegevens en aanzienlijke boetes tegemoet kunnen zien.
De GDPR geeft personen een aantal belangrijke rechten. Deze omvatten het recht op informatie, het recht op toegang, het recht op rectificatie, het recht op wissing, het recht op beperking van de verwerking, het recht op gegevensportabiliteit, het recht op bezwaar en het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming.
De gegevensbeschermingseffectbeoordeling (DPIA) is een proces dat organisaties helpt om de gegevensbeschermingsrisico’s in verband met hun verwerkingsactiviteiten vast te stellen, te beoordelen en te beperken. De GDPR vereist dat organisaties een DPIA uitvoeren voordat zij verwerkingsactiviteiten starten die waarschijnlijk leiden tot een hoog risico voor de rechten en vrijheden van personen.
De GDPR verplicht organisaties om een functionaris voor gegevensbescherming (DPO) aan te stellen als zij een overheidsinstantie zijn, op grote schaal persoonsgegevens verwerken of bijzondere categorieën gegevens verwerken. De DPO is er verantwoordelijk voor dat de organisatie de GDPR naleeft en toezicht houdt op haar interne gegevensbeschermingsactiviteiten.
De GDPR Compliance Toolkit is een reeks hulpmiddelen die organisaties kunnen gebruiken om hen te helpen de GDPR te begrijpen en na te leven. De Toolkit bevat richtsnoeren, sjablonen en hulpmiddelen om organisaties te helpen bij het identificeren en beoordelen van risico’s voor gegevensbescherming en bij het ontwikkelen van een passend beleid en passende procedures voor gegevensbescherming.
De GDPR staat voor de Algemene Verordening Gegevensbescherming. Het is een verordening van de Europese Unie die op 25 mei 2018 in werking is getreden. De GDPR regelt de omgang met persoonsgegevens door verantwoordelijken en verwerkers binnen de EU. Het bevat strenge regels over het verzamelen, opslaan en gebruiken van persoonsgegevens. Het geeft personen ook het recht om te weten welke persoonsgegevens over hen worden verzameld, het recht om die gegevens te laten wissen en het recht om bezwaar te maken tegen het gebruik ervan.
Nee, GDPR is niet verplicht in de Verenigde Staten. Sommige bedrijven die zaken doen in de Europese Unie moeten echter wel voldoen aan GDPR als zij persoonsgegevens van EU-burgers verzamelen of verwerken.
1. Verantwoording: GDPR vereist dat organisaties verantwoording afleggen over hun gegevensverwerkingsactiviteiten. Ze moeten kunnen aantonen dat ze de beginselen van de GDPR naleven, en moeten een functionaris voor gegevensbescherming aanstellen als de wet dat voorschrijft.
2. Transparantie: GDPR vereist dat organisaties transparant zijn over hun gegevensverwerkingsactiviteiten. Zij moeten betrokkenen duidelijke en beknopte informatie verstrekken over hun rechten en ervoor zorgen dat persoonsgegevens op een eerlijke, transparante en rechtmatige manier worden verwerkt.
3. Doelbinding: GDPR vereist dat organisaties persoonsgegevens alleen verwerken voor de specifieke doeleinden waarvoor ze zijn verzameld. Persoonsgegevens moeten adequaat, relevant en beperkt zijn tot wat noodzakelijk is in verband met de doeleinden waarvoor ze worden verwerkt.
4. Gegevensminimalisatie: GDPR vereist dat organisaties de persoonsgegevens die zij verzamelen en verwerken tot een minimum beperken. Ze mogen alleen de persoonsgegevens verzamelen en verwerken die nodig zijn voor de specifieke doeleinden waarvoor ze worden verzameld. Persoonsgegevens moeten nauwkeurig en actueel zijn, en moeten worden verwijderd of vernietigd als ze niet langer nodig zijn.
De 7 GDPR-vereisten zijn als volgt:
1. Rechtmatigheid, eerlijkheid en transparantie – gegevens moeten op een rechtmatige, eerlijke en transparante manier worden verzameld en verwerkt.
2. Doelbinding – gegevens moeten uitsluitend voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en verwerkt.
3. Gegevensminimalisatie – gegevens moeten adequaat en relevant zijn en beperkt blijven tot wat nodig is voor de doeleinden waarvoor ze worden verwerkt.
4. Nauwkeurigheid – de gegevens moeten nauwkeurig zijn en zo nodig worden bijgewerkt.
5. Opslagbeperking – gegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.
6. Integriteit en vertrouwelijkheid – de gegevens moeten worden verwerkt op een wijze die de beveiliging ervan waarborgt, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking, onopzettelijk verlies, vernietiging of beschadiging.
7. Verantwoordingsplicht – de voor de verwerking verantwoordelijken moeten kunnen aantonen dat zij de GDPR naleven.