Blijf op de hoogte:

Contact: 033-7410041

Blogs

Wat verandert er met de komst van GDPR t.o.v. de Wbp

Vikash Badal
0

De Algemene Verordening Gegevensbescherming (AVG) oftewel de implementatie van de General Data Protection Regulation (GDPR) treedt over een jaar in werking. De AVG gaat de huidige wetgeving omtrent persoonsgegevens, de Wet bescherming persoonsgegevens (Wbp), vervangen. In deze eerste blog van een reeks leest u kort wat de Wet bescherming persoonsgegevens en de Algemene Verordening Gegevensbescherming inhouden. We nemen u mee in wat er verandert met de komst van GDPR ten opzichte van de Wbp. In een vervolgblog gaan we in op wat u als organisatie moet doen om te voldoen aan de nieuwe wetgeving.

 

Wet bescherming persoonsgegevens?

De Wet bescherming persoonsgegevens is de wet die regelt hoe organisaties in Nederland omgaan met persoonsgegevens. De Wbp is sinds 2001 van kracht en draagt er zorg voor dat organisaties op een zorgvuldige manier met persoonsgegevens omgaan. De WBP regelt onder andere dat de personen over wie gegevens worden verwerkt bekend moeten zijn met de gegevensverwerker en dat de gegevens alleen met een nadrukkelijk en vooraf omschreven doel mogen worden verzameld en verwerkt.

Afbeelding1-16.png

General Data Protection Regulation (GDPR)

Veel Europese landen hebben wetgeving als de Wbp geïmplementeerd, waardoor internationale organisaties te maken hebben met een enorme verscheidenheid aan toezichthouders en regelingen. Om het internationale organisaties minder ingewikkeld te maken, komt er nu Europese regelgeving, zodat voor verwerking van persoonsgegevens van alle Europese burgers aan dezelfde regelgeving moet worden voldaan. De Europese wetgeving heet de GDPR en treedt in werking op 25 mei 2018. In Nederland is er om te voldoen aan deze regelgeving de Algemene Verordering Gegevensbeschermning (AVG) ingesteld, die ook op 25 mei 2018 in werking treedt. Het is voor alle organisaties die persoonsgegevens verwerken zaak om zo snel mogelijk te voldoen aan deze regelgeving, aangezien de boetes kunnen oplopen tot 4% van de wereldwijde omzet.

 

Maar wat is er nou precies nieuw in de GDPR?

Afbeelding2-12.png

In de eerste plaats is het voor organisaties belangrijk om te gaan documenteren welke maatregelen getroffen zijn op het gebied van gegevensbescherming. De wetgeving verwacht van organisaties dat ze haar verantwoordelijkheid nemen, maar ook kan laten zien op welke manier ze dat gedaan hebben. Dit is iets wat vaak nog niet op orde is en daar kan bijvoorbeeld enterprise architectuur enorm bij helpen. Een ander hulpmiddel hierbij is het aanstellen van een functionaris gegevensbescherming (privacy officer). Het is in de GDPR dan ook verplicht voor veel organisaties om zo’n functionaris gegevensbescherming aan te stellen. Daarnaast moet in veel gevallen een privacy impact assessment gedaan worden.


Met de komst van de GDPR veranderen ook wat rechten en plichten als het gaat om persoonsgegevens. Het was in de Wbp al zo dat er specifieke afspraken gemaakt moesten worden in het geval dat een derde partij gegevens verwerkt, maar er zijn nu een aantal extra afspraken bijgekomen die gemaakt moeten worden met die gegevensverwerker. Daarnaast hebben de betrokkenen, over wie je gegevens verwerkt een aantal nieuwe rechten gekregen. Zo hebben ze het recht om vergeten te worden, het recht op overdraagbaarheid van data, het recht op beperking van de verwerking, het recht op bezwaar tegen bepaalde verwerkingen alsook het recht niet te worden geprofileerd als dat hem treft of daar rechtsgevolgen aan zijn verbonden. Dat klinkt allemaal redelijk recht toe recht aan, maar kan op het gebied van datamanagement ingewikkelde gevolgen hebben. Zo is het compleet verwijderen van een gebruiker uit alle systemen van een organisatie vaak nog niet makkelijk te bereiken. Iets waar minder in veranderd, is het melden van datalekken. Dit blijft nagenoeg gelijk ten opzichte van wat er al geregeld was met de meldplicht datalekken.

 

Wat moet u veranderen in uw organisatie?

Om te voldoen aan de GDPR zijn er, voor organisaties die al voldoen aan de WBP, een aantal zaken die extra geregeld moeten worden. Zo wordt het belangrijk om inzicht te geven in wat uw organisatie doet om beveiliging van persoonsgegevens te bewerkstelligen. Enterprise architectuur kan hier bijvoorbeeld een uitkomst bieden, Een voorbeeld hiervan is het gebruik van de architectuur-repository voor inzicht in gegevens. De repository van een architect bevat namelijk alle gegevens die verwerkt worden door een organisatie. Als voor elk van die gegevensobjecten een eigenschap wordt toegevoegd of het object persoonsgegevens bevat of niet, wordt heel snel inzichtelijk waar in de organisatie persoonsgegevens verwerkt worden.

Daarnaast zijn er aantal nieuwe rechten voor gebruikers, die gevolgen hebben voor het inrichten van het gegevensbeheer voor organisaties, waarbij datamanagement een uitkomst kan bieden. Wij hebben een plan van aanpak voor de GDPR opgesteld. Download het plan van aanpak hier.

 

GDPR Slidedeck

Er staat voor organisaties het nodige te doen om 25 mei te halen. Het kan in de tijd die vanaf nu nog beschikbaar is, maar het is wel verstandig om direct te beginnen. Kom er in dit Slidedeck achter wat de GDPR eigenlijk inhoudt; wat de veranderopgave is, wat de verschillen zijn ten opzichte van de WBP, wat onze visie is op de GDPR en wat onze aanpak is om ervoor te zorgen dat u voor 25 mei GDPR compliant bent. 

 

New Call-to-action

 

GDPR, WBP