De technologische expansie en de versnelde globalisering in het nieuwe millennium stellen ons voor nieuwe uitdagingen in verband met de bescherming van persoonlijke gegevens. Het volume van het verzamelen en uitwisselen van persoonlijke gegevens is toegenomen. Ook valt op dat zelfs individuen zelf, bewust of onbewust, hun persoonlijke gegevens steeds toegankelijker maken voor het publiek, wat kan leiden tot misbruik. Daarom is het wetgevingsorgaan van de EU in 2016 begonnen met het opstellen van een verordening betreffende de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens, die van toepassing is vanaf 25 mei 2018.

GDPR (Algemene verordening Gegevensbescherming) heeft betrekking op de verwerking van persoonsgegevens door organisaties die in de EU actief zijn, indien hun activiteiten verband houden met het leveren van goederen of diensten aan EU-burgers of hun “gedrag” wordt gecontroleerd, ook al zijn zij buiten de EU.

De Algemene verordening Gegevensbescherming heeft tot doel de stroom van persoonsgegevens binnen de EU zelf te vergemakkelijken en over te dragen aan derde landen en internationale organisaties, en tegelijkertijd een hoge mate van bescherming van persoonsgegevens te waarborgen.

GDPR bepaalt dat:

  • gegevensverwerking moet legaal en transparant zijn
  • dat de verzamelde gegevens nauwkeurig moeten zijn en, indien nodig, bijgewerkt, geschikt, relevant en geminimaliseerd
  • bewaard worden in een vorm waarin de persoon kan worden geïdentificeerd, alleen zolang als nodig is voor het doel van de verwerking
  • verwerkt worden op een manier die een adequate beveiliging van persoonsgegevens garandeert, inclusief bescherming tegen ongeoorloofde of illegale verwerking, onbedoeld verlies, vernietiging of beschadiging van gegevens.

GDPR vereist dat iedereen die informatie verwerkt het recht moet bieden op transparante informatie, het recht op toegang tot persoonlijke gegevens en het recht om onjuiste persoonlijke gegevens te corrigeren, het recht om persoonlijke gegevens te verwijderen, het recht op vergetelheid, het recht om de verwerking te beperken, het recht op overdraagbaarheid van persoonlijke gegevens en het recht om bezwaar aan te tekenen.

Om ervoor te zorgen dat deze rechten volledig worden gerespecteerd, moet de gegevensverwerker allereerst de schriftelijke toestemming verkrijgen van de persoon wiens persoonsgegevens worden verwerkt. Om de verwerking van gegevens wettelijk en legitiem te maken, moet de toestemming ondubbelzinnig, duidelijk en vrijwillig zijn en de persoon wordt geïnformeerd dat zijn persoonsgegevens voor een bepaald doel zullen worden verwerkt, dat deze voor een bepaalde tijd op een adequate manier zullen worden bewaard.en dat hij het recht heeft de toestemming in te trekken.

Implementatie van GDPR

Bij de uitvoering van de bepalingen van GDPR, zou elke organisatie in principe verschillende stappen moeten volgen. Het is namelijk noodzakelijk om de harmonisatie van GDPR te initiëren en het bestaande systeem binnen de organisatie te analyseren. Vervolgens moeten de uitdagingen die worden opgelegd door GDPR aan het management worden gepresenteerd in relatie tot het bedrijfsbeleid. Daarna moet de organisatiestructuur van de werknemers worden overwogen en de organisaties met de juiste professionele profielen opnemen in de procedure voor de classificatie van persoonsgegevens die worden verwerkt. De gegevens moeten worden geclassificeerd op basis van de mate van gevoeligheid en kwetsbaarheid, evenals de mate van risico die is verbonden aan de verwerking van deze gegevens. Het is dan noodzakelijk om een beoordeling van de privacyimpact (PIA) uit te voeren en, in geval van een hoog risico voor de rechten en vrijheden van de personen van wie de gegevens worden verwerkt, de DPIA (Data Protection Impact Assessment). Wanneer een plan wordt gemaakt, moet het worden gestart met ontwerpprocedures en interne controles, waarbij onderwijzend personeel betrokken is, of functionarissen voor gegevensbescherming (DPO’s) en risicobeheer moet worden aangesteld.

Tenslotte is de organisatie er klaar voor om de verwerking van persoonsgegevens te volgen, te analyseren, te evalueren en een interne audit uit te voeren en na een bepaalde periode hun technische en organisatorische mechanismen voor de bescherming van persoonlijke gegevens te controleren.

De implementatie van de bepalingen van GDPR (Algemene verordening Gegevensbescherming) moet uiterst professioneel worden benaderd, gezien het aantal voorgeschreven boetes. Bedragen variëren van maximaal 20.000.000 Euro of maximaal 4% van de totale jaaromzet van het vorige boekjaar, afhankelijk van welke bepalingen zijn geschonden.

Als u hulp bij GDPR-ondersteuning nodig heeft, kan ITAF u hierbij helpen. ITAF heeft een hulpmiddel ontwikkeld waarmee u op een eenvoudige manier en met minimale inspanning volledig aan de GDPR-wetgeving kunt voldoen.
Neem contact op met ITAF voor een gratis offerte

Frans van Ryhovelaan 325, 9000 Gent, Belgium

Leuvensesteenweg 677, 1930 Zaventem, Belgium

Meensesteenweg 699, 8800 Roeselare, Belgium

Wilselsesteenweg 257, 3010 Leuven, Belgium

Haïfastraat 6, 2030 Antwerpen, Belgium

Durmitorska 1, Beograd, Serbia

Jovana Subotića 1, Novi Sad, Serbia

Steenovenstraat 13a, 2340 Turnhout (Beerse)