Op 25 mei 2018 wordt de nieuwe General Data Protection Regulation (GDPR) van kracht en geldt voor alle bedrijven die gegevens verwerken van inwoners uit de EU.
Deze wet heet ook wel de Algemene Verordening Gegevensbescherming (AVG) en moet personen meer controle geven over hun persoonlijke data en het gebruik van deze data. Hiernaast moet deze wet gaan zorgen dat deze persoonsgegevens beter worden beveiligd.

Het waarborgen van de privacy van personen ligt bij de bedrijven. Het risico van het niet naleven van de regels kan een boete opleveren van 4% van de jaaromzet tot een max van 20 miljoen euro, zelfs wanneer een overtreding voor het eerst is begaan.
Om dit te voorkomen is het van belang de juridische zaken (oa de algemene voorwaarden), organisatorische punten (processen) menselijke handelingen( trainingen bewustwording, omgang met data, internet, privacy) en ICT aspecten (voorkomen van malware, intruders op het netwerk en ongeautoriseerd versturen van databestanden) correct ingeregeld te hebben.
Indien er sprake is van een mogelijk data-lek moet een organisatie binnen 72 uur dit aan de autoriteiten en de mogelijk getroffen personen melden.

Alle data die wordt verwerkt, moet met de betrokken persoon op eenduidige wijze worden gecommuniceerd; welk doel, hoe en waarom data wordt verwerkt, hoe deze wordt opgeslagen en wie de verantwoordelijken hiervan zijn.
Persoonsgegevens worden met de GDPR erg breed gedefinieerd en betreft alle informatie die naar een identificeerbare persoon kan leiden zoals naam, locatie, bankgegevens, economische of sociale identiteit etc.

De personen van wie gegevens worden verwerkt, moet uitdrukkelijke toestemming hebben gegeven voor verwerking van deze gegevens en moet te allen tijde deze gegevens kunnen inzien of kunnen wijzigen of verwijderen.

Indien een persoon geen expliciete toestemming heeft gegeven, mogen zijn gegevens de EU niet verlaten. Hierbij behoort de betrokkene de risico’s te kennen van de eventuele data-overdracht.

Waarom een DPO?

Naast de beveiliging van uw data, is een belangrijke vereiste het aanstellen van een onafhankelijke Data Protection Officer (DPO). 

Wanneer gegevens op grote schaal worden verwerkt, moet een organisatie een DPO aangeven bij de toezichthoudende autoriteiten. De DPO zorgt voor naleving, waarborging en advisering van de verordening en is kennishouder op het gebied van de wet- en regelgeving.

Hij kan medewerkers trainen en adviseren en een overzicht overleggen betreffende de processen die benodigd zijn voor de GDPR.
Hiernaast zal de DPO optreden als contactpersoon voor vragen en klachten van betrokkenen of de autoriteiten.

Ook bij kleine verwerking van persoonsgegevens is het raadzaam een DPO aan te stellen, hiermee kunnen imagoschade en boetes worden voorkomen en kan de organisatie onderscheid maken.

Een DPO heeft een onafhankelijke positie binnen het bedrijf en mag niet belast zijn met activiteiten die tegengestelde belangen kunnen hebben. Hierdoor geniet hij ontslagbescherming. Mede hierdoor kan het in veel gevallen aantrekkelijk zijn om een DPO in te huren. Tevens zijn de kosten voor het inhuren veelal significant lager dan een DPO in dient te nemen.