Sinds de zomer van 2016 is op Europees niveau de General Data Protection Regulation (GDPR) in gang gezet om de individuele eigenaar van persoonsgegevens meer bescherming te bieden. In Nederland is deze wetgeving bekend als de Algemene Verordening Gegevensbescherming (AVG). Dit is feitelijk de opvolger van de wet Bescherming Persoonsgegevens.

De wet Meldplicht Datalekken is per 1 januari 2016 al van kracht als onderdeel van de nog bestaande wet Bescherming Persoonsgegevens. Nu is nog sprake van een overgangsperiode, maar 25 mei 2018 zal de GDPR officieel in werking treden. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De wet Bescherming Persoonsgegevens zoals we die in Nederland kennen, geldt dan niet meer.


Wat zijn zaken waarmee u concreet rekening mee moet houden?

 1. Er vloeit een aantal belangrijke verplichtingen voort uit de Algemene Verordening Gegevensverwerking waaraan u te allen tijde moet voldoen;
 2. De Autoriteit Persoonsgegevens geeft tegelijkertijd een aantal handvatten om te kunnen voldoen aan de wetgeving;
 3. De eigenaar van de persoonsgebonden gegevens heeft meer rechten om zich te beschermen tegen ongewenst gebruik daarvan;
 4. U moet grip hebben en houden op gevoelige data waarvan in het kader van deze wetgeving sprake is;
 5. Per marktsegment zijn soms verschillen aan te merken qua impact van de GDPR;
 6. Certificering en normering hebben een belangrijke toegevoegde waarde. Ze geven zowel u als uw gesprekspartner zekerheden.

Toelichting

 1. De verplichtingen hebben vooral betrekking op het expliciet verkrijgen van toestemming voor het verzamelen en/of bewerken van specifieke persoonsgebonden gegevens. Die toestemming geldt niet voor alle typen gegevens, maar zeker wel als het gaat om bijvoorbeeld bijzondere persoonsgebonden gegevens, zoals medische of financiële gegevens. Een andere vorm van mogelijke verplichting is de aanstelling van een Beveiligingsfunctionaris voor controle op naleving of het (laten) doen van een Privacy Impact Assessment om de risico’s op beveiligingsincidenten te kunnen inschatten;
 2. De Autoriteit Persoonsgegevens heeft een aantal zaken gestandaardiseerd waarvan u gebruik kunt maken om zowel uw eigen organisatie als die van uw (gegevens)partner voldoende garanties te bieden. Een van die zaken is een Bewerkersovereenkomst, waarin afspraken met betrekking tot processen, procedures en handelingen rondom de verwerking van persoonsgebonden gegevens worden vastgelegd;
 3. De rechten van de eigenaar zijn beter beschermd met de nieuwe wetgeving. Daar moet u rekening mee houden en op kunnen inspelen. De eigenaar kan bijvoorbeeld onder voorwaarden eisen dat zijn gegevens worden verwijderd of de verstrekte toestemming voor verwerking intrekken;
 4. Grip hebben op data betekent vooral weten wat u verzamelt, waarvoor u dat doet, waar en voor hoe lang. Een goed doordacht informatiebeheersysteem – ook met betrekking tot ‘mobiele data’ – ondersteunt dat streven;
 5. Er zitten soms verschillen in gevoeligheid van de gegevens. Daarin maakt de wet dan onderscheid. De impact van bijvoorbeeld het verlies of misbruik van medische gegevens op de persoonlijke levenssfeer is tot op zekere hoogte groter dan de gegevens die u achterlaat bij een webshop omdat u daar een broek heeft besteld. Die verschillen kunnen gevolgen hebben voor de maatregelen die u moet nemen;
 6. De klant wil garanties, maar u wilt ook zeker weten dat u voldoet aan wet- en regelgeving. De boetes zijn namelijk aanzienlijk. De juiste certificeringen bieden voor beide partijen de (nog altijd relatieve) zekerheid dat de afspraken, processen, procedures en resultaten helder zijn, gestructureerd vastgelegd en controleerbaar. Ook door een onafhankelijke derde partij.

Benieuwd of uw marketing en dataverzameling ‘complient’ is met de GDPR? Praat dan geheel vrijblijvend met ons voor een inventarisering.