Actueel

21 februari 2018

De GDPR voor jou als consument

Het voorjaar van 2018 is een cruciale periode in de cybersecurity. Bedrijven en overheden werken er hard aan om vóór de komst van de GDPR, de nieuwe Europese wetgeving in mei, de (privacy)zaken op orde te hebben. Maar wat betekent de GDPR voor de consument?

GDPR

De GDPR of General Data Protection Regulation wordt op 25 mei 2018 ingevoerd. Vanaf die datum gelden dezelfde privacyregels in alle EU-landen voor de bescherming van natuurlijke personen in het licht van verwerking van hun persoonsgegevens en het vrije verkeer van die gegevens. In het Nederlands heet deze nieuwe Europese wetgeving de AVG: Algemene verordening gegevensbescherming.

We hebben het regelmatig over deze GDPR, want onderzoek toonde afgelopen maand nog aan dat maar liefst 8o procent van de Nederlandse bedrijven en overheden nog niet klaar is voor de GDPR, terwijl 60 procent van deze organisaties niet weet waar de gegevens van burgers of klanten opgeslagen zijn (Nationale Privacy Benchmark).

Voor iedereen die binnen een organisatie verantwoordelijk is voor informatieveiligheid en privacy gaven we in een eerdere blog een aantal tips in de voorbereiding op mei 2018. Maar waarom is er behoefte aan die strenge nieuwe regels, en wat verandert er eigenlijk voor de consument?

GDPR voor de consument

In Nederland ziet de Autoriteit Persoonsgegevens toe op de naleving van de Wet bescherming persoonsgegevens, de Wpb. Deze wetgeving zal over ruim drie maanden worden vervangen door de GDPR. De regels van de Wbp zijn namelijk opgesteld in een periode waarin het internet nog een kleinere rol speelde en het digitale tijdperk een minder stevige grip had op de maatschappij, privacy en de individuele consument. Nieuwe omstandigheden vragen om een wet die daar beter op aansluit.

Privacy

Privacy staat voor persoonlijke vrijheid, zelf bepalen wie welke informatie over jou krijgt en de wens om onbewaakt te kunnen leven. Dat is steeds belangrijker, want in de digitale maatschappij delen we erg veel. Sta maar eens stil bij alles wat Facebook, de vele apps op je telefoon of een willekeurige webshop van je weten. Ook in de moderne werkomgeving krijgt privacy een hoofdrol.

In de context van informatieveiligheid spreken we vooral over persoonsgegevens en de bescherming daarvan: wie heeft welke informatie en waarom? Denk maar eens aan alle persoonsgegevens die bij dagelijkse werkzaamheden verwerkt worden. Informatie over medewerkers, leveranciers en andere zakelijke relaties, maar ook gegevens over onszelf als consumenten.

Gegevensbescherming

De GDPR moet ervoor zorgen dat al die gegevens beter worden beschermd. Organisaties krijgen serieuze verantwoordelijkheden en worden daar streng op gecontroleerd, met potentieel stevige boetes als consequentie wanneer regels onvoldoende worden nageleefd. Daar hoort ook aandacht voor informatievoorziening bij: bedrijven en overheden moeten in heldere taal uit kunnen leggen welke gegevens ze gebruiken, terwijl wij als consument meer en sterkere privacyrechten krijgen.

Onder de huidige wetgeving hebben we onder meer al het recht om persoonsgegevens die organisaties van jou verwerken in te zien, deze te laten aanpassen of aanvullen en bezwaar te maken tegen de verwerking van deze gegevens, bijvoorbeeld bij direct marketing. Jouw gegevens mogen alleen voor specifieke doeleinden verzameld en verwerkt worden, en mogen niet voor andere doelen worden misbruikt. Een retailer mag bijvoorbeeld niet zomaar om je geboortedatum vragen en je dan een actie sturen voor je verjaardag, zonder dat je daar expliciet toestemming voor hebt gegeven. Vanuit de GDPR komen daar twee privacyrechten bij: het recht op vergetelheid en het recht op dataportabiliteit.

Extra rechten

Het recht op vergetelheid betekent simpelweg dat we het recht hebben om online ‘vergeten’ te worden. Dat houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als de betrokkene daarom vraagt. Bijvoorbeeld wanneer de organisatie deze gegevens niet meer nodig heeft voor de doeleinden waarvoor ze zijn verzameld, wanneer toestemming ingetrokken wordt en wanneer er bezwaar aangemaakt wordt tegen de verwerking.

Het recht op dataportabiliteit gaat over overdraagbaarheid van persoonsgegevens. In het kort betekent het bijvoorbeeld dat je het recht hebt te verzoeken om de persoonsgegevens die een organisatie van je heeft te ontvangen, om ze over te kunnen dragen aan een andere leverancier van een vergelijkbare dienst. Dat geldt overigens alleen voor digitale informatie, niet voor papieren dossiers.

Bedrijven en overheden zijn in de meeste gevallen verplicht om een verzoek met betrekking tot het uitoefenen van deze rechten binnen één maand in te willigen. Ook zijn ze verplicht om jou daarvan binnen die periode op de hoogte te stellen. Ook als de GDPR geen actie vereist, is de organisatie verplicht om binnen een maand te reageren.

Awareways en de AVG

Ben je binnen jouw organisatie verantwoordelijk voor privacy? Verdiep je dan eens in onze Privacy-module. Om medewerkers specifiek over de regels en veranderingen van de Avg bij te spijkeren, heeft Awareways bovendien een nieuwe online training ontwikkeld. Deze e-learning is didactisch sterk, enthousiasmeert medewerkers over het onderwerp én zorgt voor feitelijke gedragsverandering om de nieuwe situatie het hoofd te kunnen bieden: wat betekent de Avg voor de individuele medewerker?

Tot slot

Kijk op awareways.com/e-learning, waar je het volledige aanbod van online trainingen vindt – zoals Informatiebewustzijn, Phishing, Social Engineering, Flexwerken en Mobiele Devices.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.