Wat is de General Data Protection Regulation (GDPR)?



De GDPR heeft tot doel persoonsgegevens te beschermen en rechten te verlenen aan natuurlijke personen in de Europese Unie. Sinds 25 mei 2018 is de GDPR van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De regeling is van toepassing op de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw onderneming/organisatie dus beslist „waarom” en „hoe” persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke 

De gegevensverwerker verwerkt persoonsgegevens uitsluitend namens de verwerkingsverantwoordelijke. De gegevensverwerker is meestal een derde partij buiten de onderneming. In het geval van concerns kan één onderneming echter optreden als verwerker voor een andere onderneming.

In Nederland is de GDPR ook wel bekend onder de AVG: Algemene Verordening Gegevensbescherming. 
De personen van wie de gegevens worden verwerkt, hebben vergaande rechten op grond van de GDPR, zoals het wissen van hun gegevens en het recht om bezwaar te maken tegen verwerking van hun gegevens. De verwerkingsverantwoordelijke en verwerkers hebben veel meer verplichtingen, zoals het documenteren van alle data en het verkrijgen van toestemming om de gegevens te mogen verwerken.

 

GDPR en de belangrijkste uitdagingen

De GDPR is gecentreerd rond een paar zeer krachtige principes, waaronder: rechtmatige verwerking, transparantie en het gebruiksdoel moet duidelijk zijn. Voor de laatste moet men de juiste grondslag voor verwerking hebben dit kan bijvoorbeeld door de juiste expliciete toestemming te krijgen van de betrokkene (diegene wiens data verwerkt wordt) in de context van het doel, b.v. "Ik ga ermee akkoord dat u mijn gegevens aan een derde partij verkoopt".