In 2018 is in de EU een nieuwe wetgeving voor gegevensbescherming geïmplementeerd. Deze werd de GDPR-wetgeving genoemd, een acroniem van General Data Protection Regulation. De wetgeving voorheen was flink verouderd. Deze was namelijk al meer dan twee decennia niet meer was gewijzigd. Uw online activiteiten zijn in die periode natuurlijk wel sterk veranderd. Modernisering middels de GDPR-wetgeving was dus hard nodig.
In dit artikel gaan we dieper in op de redenen waarom de GDPR-wetgeving tot stand is gekomen, maar ook wat het precies inhoudt. Aan de hand van de 7 principes zult u zien hoe een organisatie zich binnen de kaders van de wet kan houden. Daarnaast wordt er gereflecteerd op het idee of de GDPR-wetgeving voldoende is voor de bescherming van uw persoonlijke gegevens.
Wat is GDPR en waarom is het ingevoerd?
Zoals aangegeven is GDPR de nieuwste wetgeving voor gegevensbescherming. De invoering was nodig voor de standaardisering van gegevensbescherming over de gehele Europese Unie. GDPR harmoniseert dus in feite de wetgeving omtrent de privacy van gegevens in de gehele EU. In een groeiende digitale economie geeft het u meer controle over de toepassingen van de gegevens die u genereert.
Privacybescherming en de GDPR-wetgeving
Als consument en online koper heeft u hoogstwaarschijnlijk wel eens ongewenste e-mails ontvangen. De gegevens die u doorgeeft bij een aankoop worden gebruikt voor mailinglijsten, wat vaak leidt tot een overvolle inbox met onnuttige e-mails.
De GDPR is ingevoerd om dergelijke ongewenste spam berichten, of online commerciële interacties in het algemeen, tegen te gaan. Onder de GDPR-wetgeving mogen websites alleen persoonsgegevens verzamelen als ze kunnen aantonen waarom dit nodig is. Het verandert dus hoe bedrijven en organisaties kunnen omgaan met de informatie van hun online bezoekers.
Websites moeten een legitieme reden hebben om uw data op te slaan. Een ziekenhuis kan bijvoorbeeld een uitzondering krijgen als de gezondheid van een persoon op het spel staat. Daarnaast zijn door de GDPR-wetgeving organisaties verplicht om personen te informeren als hun gegevens bij een data hack betrokken zijn geraakt.
Wat zijn de 7 principes van de GDPR?
Om het gemakkelijker te maken voor organisaties en websites worden er zeven principes uiteengezet. De principes zijn een handvat voor organisaties om ervoor te zorgen dat ze zich op alle niveaus aan de wetgeving houden. De zeven principes van de GDPR zijn de volgende:
- Uw gegevens moeten rechtmatig, eerlijk en transparant worden verwerkt.
- Het doel van de gegevensverzameling moet zijn beperkt. Dit betekent dat gegevens alleen expliciet en voor legitieme doeleinden mogen worden verzameld. De gegevens mogen niet worden gedeeld of gearchiveerd voor openbare belangen.
- Websites zijn verplicht om zo min mogelijk gegevens te verzamelen. Het verzamelen van gegevens moet beperkt blijven tot het strikt noodzakelijke.
- Alle mogelijke stappen moeten worden uitgevoerd om er voor te zorgen dat er alleen accurate gegevens van een persoon worden verzameld.
- De opslag van gegevens moet beperkt zijn. Organisaties mogen persoonsgegevens niet langer bewaren dan wat absoluut noodzakelijk is.
- Gegevensverwerking moet integer en vertrouwelijk gebeuren.
- Organisaties die gegevens beheren, moeten kunnen aantonen dat zij de bovenstaande beginselen naleven. Organisaties en hun websites zijn altijd eindverantwoordelijken.
Op wie is de GDPR-wetgeving van toepassing?
In theorie is de GDPR-wetgeving gericht op de Europese Unie. Het is echter ook van toepassing op websites die Europese bezoekers hebben. Dus hoewel het in theorie alleen voor Europa geldt, is het in de praktijk van toepassing op een veel groter aantal organisaties.
Er zijn twee partijen die zich aan de bovenstaande principes moeten houden. Dit zijn:
- Verantwoordelijken voor de gegevensverwerking: partijen die bepalen hoe en waarom gegevens worden verwerkt;
- Gegevensverwerkers: partijen die de gegevens daadwerkelijk verwerken.
Wat is de maximale boete voor het niet naleven van GDPR?
Als een website of organisatie zich niet houdt aan de bovenstaande principes zullen er consequenties zijn. De straffen of boetes die een organisatie kan verwachten is op basis van de grootte van de organisatie. De vuistregel is een boete die maximaal 4% van de jaaromzet van de organisatie omvat.
Dus, wat is er echt veranderd?
We hebben besproken waar GDPR voor staat, wat GDPR is, en hoe het zich verhoudt tot online veiligheid. Organisaties worden inderdaad meer verantwoordelijk gehouden dan ooit tevoren. Het is echter nog maar de vraag of het individu er volledig mee wordt beschermd. Beschermt het inderdaad uw privacy online?
Kritiek op de GDPR-wetgeving
Zoals eerder aangegeven zijn sommige websites en organisaties vrijgesteld van de GDPR-wetgeving. Als de gezondheid van een persoon op het spel staat is het natuurlijk gerechtvaardigd. Maar, er worden ook vrijstellingen gegeven aan journalisten en overheidsinstanties. Hoe meer partijen een vrijstelling krijgen, hoe groter het risico dat gegevens alsnog legaal of illegaal worden verkocht en opgeslagen.
Een ander punt van kritiek op de wetgeving is dat het al enigszins is gedateerd. Het juridische instrument van de GDPR is een stap in de richting voor meer individuele controle. Echter groeit het internet en uw online aanwezigheid nog steeds iedere dag. Daarom zijn er voortdurend haken en ogen aan de wetgeving die niet zomaar weg gaan.
De haken en ogen hebben vooral te maken met het feit dat uiteindelijk de persoon aan de andere kant verantwoordelijk is voor de bescherming van uw persoonlijke gegevens. Vertrouwen is dus een grote factor, maar helaas wordt vertrouwen vaak geschonden. Vooral wanneer u niet fysiek in dezelfde ruimte bent.
Dus, hoe bescherm je je privacy online?
Om er zeker van te zijn dat uw gegevens beschermd zijn heeft u extra maatregelen nodig. Als individu, maar vooral als werkgever of bedrijf. Daarom is het aan te bevelen om gebruik te maken van data blockers, uw webcam af te dekken, of een kijkje te nemen naar deze vijf manieren om uw online veiligheid te waarborgen.