Office App Award Winner

GDPR, de nieuwe EU richtlijn voor persoonsgegevens

Casper van der Schaft -

In 1995 werd de Europese databeschermingsrichtlijn 95/46/EC door het Europees Parlement aangenomen. Nu, ruim 20 jaar later, wordt deze vervangen door de GDPR. Deze nieuwe richtlijn is ingevoerd om data privacy wetten door heel Europa gelijk te stellen en om EU burgers te beschermen en controle te geven over hun eigen persoonsgegevens. Dit vraagt om een hervorming van de manier waarop organisaties met persoonlijke data omgaan. Wat dit precies betekent leggen we hier uit.

Wat is de GDPR?

De GDPR (General Data Protection Regulation) is een nieuwe Europese richtlijn bedoeld om EU burgers van privacy en datalekken te beschermen in een steeds meer datagedreven samenleving, die sterk veranderd is ten opzichte van het moment dat de richtlijn in 1995 werd opgesteld. De basisprincipes uit laatstgenoemde blijven nog steeds van kracht, echter zijn er veel ingrijpende veranderingen opgenomen in de GDPR.

De belangrijkste verandering voor data privacy

De eerste en meest ingrijpende verandering van de GDPR is op de reikwijdte van de jurisdictie. Voorheen was de toepasbaarheid van de richtlijn dubbelzinnig en verwees het naar het gegevensverwerkingsproces 'in de context van een organisatie’. De GDPR geldt echter voor alle persoonlijke data uit de EU en geldt ook voor non-EU gevestigde bedrijven die deze data verwerken.

Wanneer een organisatie zich hier niet aan houdt kunnen zij aansprakelijk gehouden worden en een maximale boete krijgen van 4% van hun globale omzet of €20 miljoen (de hoogste is van toepassing). Dit kan van toepassing zijn op alle organisaties die persoonsgegevens beheren of persoonsgegevens verwerken.

Daarnaast zijn de condities voor het geven van toestemming aangescherpt. Lange ‘Terms of Agreements’ moeten vervangen worden door korte en leesvriendelijke formulieren, zodat de lezer eenvoudiger en weloverwogen toestemming kan geven voor het verwerken van zijn of haar persoonsgegevens.

Bovendien zijn ook zaken als: gegevenslek notificatie, recht tot inzage, recht tot correctie en verwijdering, en recht op dataportabiliteit opgenomen in de nieuwe richtlijn.

Impact voor Nederlandse organisaties

Voor Nederlandse organisaties geldt dat de GDPR de ‘wet bescherming persoonsgegevens’ zal vervangen. Deze wet gaf Nederlandse burgers bepaalde rechten, zoals het recht om te weten wat er met zijn of haar persoonsgegevens gebeurd. Met de invoering van de GPDR word de verantwoordelijkheid voor het correct omgaan met persoonsgegevens richting bedrijven en instanties verschoven.
Dit betekent dat, naast de eerder genoemde grote veranderingen, Nederlandse organisaties die verwerker of beheerder zijn van persoonsgebonden data (bijvoorbeeld Cloud aanbieders) verplicht worden om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Daarnaast wordt een organisatie zelf verantwoordelijk voor het bewijzen dat zij aan de privacywetgeving voldoen.

In de praktijk zal voor de meeste Nederlandse organisaties de grootste verandering te maken hebben met het veilig creëren, versturen en bewaren van documenten waar persoonsgegevens aan gekoppeld zijn.

Documenten en persoonsgegevens

Om aan de GDPR te kunnen voldoen zul je als organisatie inzicht moeten krijgen in hoe persoonsgegevens in documenten en archieven verwerkt, bewaard en opgevraagd worden. Naast het gebruik van een veilige infrastructuur is vooral de autorisatie ‘key’ om ervoor te zorgen dat persoonsgegevens niet bij de verkeerde medewerkers terecht komen. Door te werken met één centraal archief (DMS) is het eenvoudiger om bij te houden welke werknemers strikte noodzaak hebben voor toegang tot documenten. Daarnaast hoef je in een (Cloud-based) centraal archief de documenten maar één keer op te slaan, wat het overzicht van toegangsrechten vereenvoudigd. Door ook andere applicaties voor het verwerken van documenten hier op af te stemmen verzeker je je als organisatie ervan dat de documenten altijd veilig bewaard blijven. Door het gebruik van één centraal systeem waarbinnen alle document verwerkende software benaderd kan worden zorg je ervoor dat persoonsgegevens nooit het systeem verlaten. Hiermee voorkom je dat persoonsgegevens verspreid over verschillende lokale harde schijven bewaard worden en borg je dat je een veilig gesloten systeem hebt.             

Door de template management software van iWRITER te gebruiken ben je hier volledig in voorzien. Doordat de applicatie volledig gehost is op het Azure platform van Microsoft, hoeven templates en gegevens nooit het systeem te verlaten en is het daarmee GDPR compliant. Daarnaast biedt Microsoft de meest uitgebreide beveiliging van alle Cloud providers en daarmee voldoen ook Azure en Office 365 aan deze nieuwe wet- en regelgeving. Doordat iWRITER volledig geïntegreerd is in Office en SharePoint, ben je verzekerd van gebruiksvriendelijke software en het efficiënt en snel terugvinden van al jouw documenten en sjablonen.

Advies over het GDPR-proof maken van jouw organisatie? Neem dan vrijblijvend contact met ons op!

GDPR, de nieuwe EU richtlijn voor persoonsgegevens