Nucleus-Ebook-Hoe-maak-je-jouw-bedrijf-GDPR-compliant

4. WAT STAAT ER IN DE GDPR?
De GDPR breidt de verplichtingen voor bedrijven en de
rechten voor datasubjecten aanzienlijk uit. Een greep uit
het nieuwe assortiment:
Verantwoordelijkheid: De GDPR voert een aantal
nieuwe verplichtingen voor bedrijven in, waarvan het
overkoepelende beginsel van verantwoordelijkheid
(accountability) het belangrijkste is. Het betekent dat je als
bedrijf de GDPR niet alleen moet respecteren, maar ook
zelf moet kunnen aantonen dat je dat doet. Dit principe
verplicht bedrijven dus om de nodige policies in te voeren
en hun beleid en initiatieven rond de verwerking van
persoonsgegevens goed te documenteren.
“Data Protection by Design & Default”:
Een aantal nieuwe verplichtingen en beginselen
kunnen bedrijven helpen bij het nakomen van die
verantwoordelijkheidsplicht. Zo zijn er de nieuwe
beginselen van “Data Protection by Design & Default”.
Deze beginselen verplichten bedrijven om te bezinnen
vooraleer ze met een gegevensverwerking beginnen.
Bedrijven moeten reeds van bij de start van een project
met verwerking van persoonsgegevens nadenken over
hoe die gegevens kunnen worden beschermd (data
protection by design). Wanneer bedrijven verschillende
opties aanbieden in hun producten of diensten, moeten
zij standaard de meest privacyvriendelijke optie instellen
(data protection by default). Daarnaast houdt de GDPR
voor sommige bedrijven ook een verplichting in om een
register bij te houden van alle gegevens die zij verwerken.
Bij gevoelige gegevensverwerkingen moeten ze ook een
voorafgaande risicobeoordeling (een data protection
impact assessment) uitvoeren.
bestaande recht om het verwijderen van gegevens te
vragen (right to be forgotten) versterkt. Bedrijven zijn dus
in bepaalde gevallen verplicht gegevens te wissen als de
persoon in kwestie daarom vraagt en als er geen andere
motief voor verwerking bestaat.
Meldplicht bij datalekken: Ook op het vlak van
beveiliging, breidt de GDPR de verplichtingen voor
bedrijven uit, door onder meer een verplichting in te
voeren om datalekken te melden. Bedrijven moeten
een datalek melden binnen de 72 uur, tenzij het niet
waarschijnlijk is dat het lek een risico inhoudt voor de
verzamelde persoonsgegevens.
5. WAT ALS IK NIET VOLDOE AAN DE GDPR?
Wie de GDPR overtreedt, riskeert boetes die kunnen
oplopen tot 20 miljoen euro of vier procent van de globale
jaarlijkse omzet.
Transparantie: De GDPR zet ook in op een betere
transparantie rond gegevensverwerking. Bedrijven moeten
datasubjecten op begrijpelijke en op zeer uitgebreide
manier informeren over de gegevens die ze over hen
verwerken. Zo moet je als bedrijf onder meer informatie
geven over de doeleinden waarvoor je de gegevens zal
gebruiken, de bedrijven die de gegevens zullen ontvangen,
de bewaarduur van de gegevens, enz.
Nieuwe en of meer uitgebreide rechten zoals
het recht op overdraagbaarheid van gegevens
en het recht op gegevenswissing: onder
bepaalde voorwaarden kunnen datasubjecten hun
persoonsgegevens opvragen bij dienstverleners en zelfs
vragen om de gegevens rechtstreeks aan een andere
dienstverlener te bezorgen. Verder wordt ook het
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen
T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS Uptime-as-a-Service 3