Op 14 april 2016 keurde het Europees Parlement de GDPR goed, de General Data Protection Regulation of de Algemene Verordening Gegevensbescherming. Een cruciale datum voor privacy en dataprotectie in de Europese Unie (EU). Maar wat is nu echt de impact van de GDPR?

‘De GDPR is geen richtlijn maar een nieuwe wet voor de verwerking van persoonsgegevensregels, Europees maar met een globale impact’, zegt Fabienne Lens, director regulatory compliance Europe bij CTG en een autoriteit op het vlak van privacy en dataprotectie. ‘Elk bedrijf dat persoonsgegevens van Europese burgers verwerkt, moet aan die regels voldoen. Die regels beschrijven wanneer en hoe je persoonsgegevens mag gebruiken, wie toegang tot die gegevens mag hebben en hoe je die naar niet-Europese landen mag versluizen. De verordening voorziet ook in serieuze boetes voor wie zich niet aan die regels houdt.’

Het vervangen van de lappendeken van nationale wetten zou volgens de Europese Commissie een besparing van zo’n 2,3 miljard euro per jaar moeten opleveren. Bovendien komt voor de bedrijven nu het ‘one-stop-shop’ mechanisme bovendrijven. Voortaan krijgen ze in principe maar met één enkele toezichthouder te maken om af te rekenen in plaats van 28, Lens: ‘Maar we kunnen niet ontkennen dat de nieuwe verordening voor veel organisaties ook een pak werk zal meebrengen. Elk bedrijf zal zijn veiligheidsprocedures strikt moeten implementeren en herevalueren. Het moet ook een register bijhouden van alle persoonsgegevens, wat het bewaart, met welk doel, hoe lang, op welke manier, et cetera. Er zijn bijvoorbeeld veel bedrijven die persoonsgegevens eindeloos bijhouden in een vergeten databank. Dat zal in de toekomst niet meer kunnen. En het is niet genoeg dat je de stekker eruit trekt, de gegevens moeten dan ook echt vernietigd worden.’

...de regelgevers, de Autoriteit Persoonsgegevens in Nederland en de Privacycommissie in België, verwachten dat de bedrijven nu al starten, zodat ze binnen die termijn zeker klaar zijn.’ In Nederland is daartoe op 1 januari van dit jaar alvast een aanzet gegeven met de invoering van de Meldplicht Datalekken.

Het belangrijkste gevolg van de GDPR voor de burger is dat hij meer controle krijgt over zijn persoonlijke gegevens. Niet alleen krijgt hij gemakkelijker toegang tot zijn data, maar bovendien moeten zijn gegevens ook zonder problemen overdraagbaar worden gemaakt wanneer hij bijvoorbeeld van serviceprovider wil wisselen. En minstens even belangrijk: de gebruiker kan nu ook aanspraak maken op het ‘recht om vergeten te worden’. Als hij niet langer wenst dat zijn data worden gebruikt en verwerkt, dan kan hij eisen dat ze worden vernietigd. Dat betekent dat organisaties er voor moeten zorgen dat ze ook in de nodige procedures voorzien om aan die eis te kunnen voldoen.

Is dit nu het einde van alle privacydiscussies? Nee, zeker niet. Op dit moment is het bijvoorbeeld moeilijk in te schatten welke impact big data-stromen en het internet of things op het hele privacygebeuren zullen hebben. Maar het allerbelangrijkste is dat er nu een wettelijk kader gecreëerd is, één pan-Europese wet waar alle bedrijven en organisaties zich aan hebben te houden, ongeacht waar ze zich bevinden.

Alles bij de bron; Computable