GDPR key concept
The GDPR (General Data Protection Regulation) is een verordening van de Europese Unie die de referentietekst is voor de bescherming van persoonsgegevens. Deze verordening, die op 25 mei 2018 in werking is getreden, verbetert de bescherming van personen die betrokken zijn bij de verwerking van hun persoonsgegevens.
Gegevens worden als persoonlijk beschouwd wanneer ze kunnen leiden tot de directe of indirecte identificatie van een natuurlijke persoon. Bijvoorbeeld: identiteitsbewijzen of foto’s, naam en voornaam als directe identificatie, vingerafdrukken, IP-adressen en telefoonnummers als indirecte identificatie.
Bovendien kan identificatie plaatsvinden op basis van één enkel gegeven of door meerdere gegevens te groeperen. Om identificatie te illustreren door gegevens te groeperen, kunnen we het volgende voorbeeld nemen: een man die op een bepaald adres woont, op een bepaalde dag is geboren en lid is van een club. De aggregatie van al deze informatie zou het in principe mogelijk kunnen maken de betrokkene te identificeren.
Op wie heeft de GDPR effect?
De GDPR is van toepassing op elke organisatie, publiek of privaat, die al dan niet voor zichzelf persoonsgegevens verwerkt, op voorwaarde dat ze in de Europese Unie is gevestigd of haar activiteit rechtstreeks gericht is op Europese bewoners.
Via deze voorbeelden kunnen we de situatie beter illustreren:
- Een in Duitsland gevestigd bedrijf dat brillen naar Zuid-Afrika exporteert, moet voldoen aan de GDPR.
- Een Canadees bedrijf dat computerbeveiligingssoftware verkoopt aan zijn Spaanse klanten, zal ook voor zijn Spaanse klanten moeten voldoen aan de GDPR.
Uiteraard moeten ook Europese gevestigde bedrijven die in handel zijn met elkaar, de GDPR respecteren.
Hoeveel kost een GDPR boete?
Bedrijven die aan deze verordening zijn onderworpen maar zich er niet aan houden, kunnen worden onderworpen aan aanzienlijke sancties.
GDPR boeteskan variëren van een simpele call-to-order tot een sanctie van € 20 miljoen of 4% van de wereldwijde omzet (wat het hoogste is). Er kunnen andere sancties worden opgelegd, zoals het tijdelijk of definitief beperken van de gegevensverwerking of het opschorten van de gegevensstroom.
Het is belangrijk op mee te geven dat zowel de naam van de gesanctioneerde bedrijven als het bedrag van de opgelegde boete, openbaar kunnen gemaakt worden. Dit kan leiden tot een ware PR-nachtmerrie en ernstige reputatieschade.
GDPR boetes in 2020
2020 was een recordjaar voor GDPR overtreding.
Allereerst bedraagt het totale bedrag aan GDPR-boetes in 2020 ruim € 306 miljoen.
Spanje is het land dat de meeste sancties heeft opgelegd gekregen (128), gevolgd door Italië (34) en Roemenië (26). Frankrijk is het land met het hoogste totale bedrag aan sancties (€ 138.309.000).
Hier is de ranglijst van de bedrijven die het afgelopen jaar de zwaarste sancties hebben ondergaan:
- Google LLC met € 60 miljoen
- Google Ierland met € 40 miljoen
- H&M met ruim 35 miljoen euro
- Amazon Europe met eveneens 35 miljoen euro
- TIM met 27,8 miljoen euro
Bron: https://finbold.com/
Ter informatie: Google LLC behaalde in 2019 een omzet van ruim € 133 miljard. Als de boete van € 60 miljoen vorig jaar had plaatsgevonden, zou dat slechts 0,045% van de omzet en 0,4% van de winst vertegenwoordigen.
Deze buitensporige bedragen kunnen ons doen geloven dat alleen grote organisaties worden getroffen door sancties. Dit is niet noodzakelijk het geval, in het midden van de ranglijst vinden we ook universiteiten, gemeenten, hotels, enz.
Tot slot vinden we onderaan de ranglijst voor het jaar 2020 GDPR-boetes vanaf €48 voor individuele bedrijven .
Zoals we kunnen zien, kunnen alle bedrijven, ongeacht hun sector of grootte, worden getroffen door sancties als ze de GDPR niet naleven.
Wat moeten uw volgende stappen zijn op het gebied van GDPR naleving?
Om met de GDPR te beginnen en de bovengenoemde sancties te vermijden, moeten 4 algemene best practices worden gevolgd:
Maak een inventarisatie van uw gegevens
Om te voldoen aan de GDPR moeten bedrijven beschikken over een gegevensregister. Deze moet minimaal het doel van de gegevens (of finaliteit), de categorie, de toegankelijkheid (wie heeft er toegang toe en waarom?) en de bewaartermijn vermelden.
Sort your data
De GDPR benadrukt dat elk gegevensitem moet worden verzameld voor een specifiek doel en noodzakelijk is voor het functioneren van de bedrijfsactiviteit. Het verwijderen van onnodige of verouderde gegevens zal de verwerking van gegevens verminderen en daardoor bepaalde taken en kosten verminderen of zelfs elimineren.
De rechten van mensen respecteren
Personen van wie de gegevens worden verwerkt, moeten door het bedrijf worden geïnformeerd over de reden(en) voor de verzameling, wat hen toestaat dit te doen, hoe lang de gegevens worden bewaard en hoe personen hun rechten kunnen uitoefenen.
Wat dit laatste betreft, moeten organisaties er alles aan doen om de manier waarop mensen hun rechten kunnen uitoefenen (recht op informatie, verzet, toegang en wijziging, en ten slotte verwijdering) te vereenvoudigen.
Data Security
Data Security, of gegevensbeveiliging, is een zeer breed veld en is niet beperkt tot data encryptie. Het is moeilijk te zeggen welke maatregelen er moeten worden genomen, aangezien deze sterk kunnen variëren, afhankelijk van het bedrijf en de gegevens die worden verwerkt.
Desalniettemin kunnen enkele algemene regels die voor alle bedrijven gelden, worden toegepast, zoals:
- Het antivirusprogramma en de verschillende gebruikte software bijwerken
- Gebruik sterke wachtwoorden en wijzig deze regelmatig
- Het opzetten van regelmatige gegevensback-ups
Daarnaast kunnen we enkele regels opnoemen omtrent data:
- Versleuteling en/of anonimisering van gevoelige gegevens
- Controle van toegangsrechten
Samenvatting
Er zijn veel regels voor de uitvoering van de AVG. De implementatie ervan kan vervelend zijn en moet ook afgestemd zijn naargelang het bedrijf en de gegevens die het verwerkt.
Desalniettemin zal een correcte implementatie de efficiëntie van uw behandelingen verhogen en u beschermen tegen disciplinaire maatregelen.