Blog

Vier vragen over de GDPR

1. Wat is de GDPR?

De General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) is een geheel van Europese regels om de gegevens van Europese burgers beter te beschermen.

In de GDPR worden strengere regels in verband met dataverwerking voor de bedrijfswereld opgelegd. De persoonsgegevens moeten worden verwerkt met de grootste zorg voor de privacy en de veiligheid. Bepaalde bedrijven worden verplicht om iemand aan te nemen die daarbij een oogje in het zeil houdt: een data protection officer (DPO).

2. Wat zijn de taken van een DPO?

De DPO moet erop toezien dat het bedrijf de data bewaart en verwerkt volgens de regels van de GDPR. Zelf draagt de DPO geen verantwoordelijkheid. Indien de GDPR niet wordt nageleefd, is niet de DPO, maar het bedrijf aansprakelijk. De DPO fungeert, met andere woorden, als adviseur en als toezichthouder.

3. Welke bedrijven zijn verplicht om een DPO aan te stellen?

Er zijn drie soorten bedrijven die verplicht zijn om een DPO aan te nemen:

  • alle organisaties in de publieke sector (behalve rechterlijke instanties), zoals overheidsorganisaties;
  • de bedrijven die bij de dataverwerking “regelmatige en stelselmatige observatie” nodig hebben, bijvoorbeeld vanwege “aard, omvang of doeleinden” van de verwerking;
  • de bedrijven die persoonsgegevens verwerken uit een “bijzondere categorie“, zoals informatie over ras, politieke opvattingen, religie, biometrische gegevens, gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen.

Uit het advies van 13 december 2016 van de “article 29 data protection working party” blijkt dat een ziekenhuis een DPO moet aanstellen. De kernactiviteit van een ziekenhuis is het verlenen van gezondheidszorgen, maar die activiteit zou onmogelijk worden zonder de verwerking van gevoelige persoonsgegevens (waaronder gezondheidsgegevens). Binnen een ziekenhuis moet de dataverwerking dus worden bekeken als een deel van de kernactiviteit, en daarom is de aanstelling van een DPO verplicht.

4. Wat gebeurt er als de GDPR niet wordt nageleefd?

Bedrijven die aan de GDPR verzuimen, kunnen zware sancties verwachten. Zo wordt er in de GDPR melding gemaakt van verschillende boetes. Wanneer de verzamelde data niet correct wordt beheerd, een ernstig datalek niet wordt gemeld of een bedrijf geen risico-assessment houdt, kan een boete oplopen tot 2% van de jaarlijkse omzet. Voor ernstige inbreuken kan de hoogte van de boete stijgen tot maar liefst 4% van de omzet, met een maximum van 20 miljoen euro.