Veelvoorkomende GDPR-begrippen uitgelegd

De Europese General Data Protection Regulation (GDPR) - of de Algemene Verordening Gegevensbescherming in het Nederlands - markeert de grootste verandering in de EU-wetgeving inzake gegevensprivacy in twintig jaar. Bedrijven zijn druk bezig met de voorbereidingen, de verandering beïnvloedt tenslotte de hele organisatie. Ben jij bekend met de belangrijkste begrippen?

Auteur: Martijn
Datum: 30/01/2018
Leestijd: 3 Minuten

De GDPR is van toepassing op de verwerking van persoonsgegevens door beheerders en verwerkers in de EU, ongeacht of de verwerking plaatsvindt in de EU of niet. De verordening is ook van toepassing op de verwerking van persoonsgegevens van EU-burgers door een niet in de EU gevestigde beheerder of verwerker, indien hun activiteiten betrekking hebben op het aanbieden van goederen en diensten aan EU-burgers, of op het volgen van gedrag dat plaatsvindt binnen de Europese Unie.
Dit is in een notendop wat de GDPR betekent en wie het betreft. Om de inhoud volledig te begrijpen, moet je vertrouwd raken met de basisbegrippen van GDPR.

Belangrijkste begrippen van de GDPR

Persoonlijke data

De GDPR is alleen van toepassing op persoonlijke gegevens. Dat is alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon, een betrokkene. Een identificator kan een naam, een identificatienummer, locatiegegevens of een online identificator zijn.

Speciale categorieën van persoonlijke gegevens

Sommige gevoelige categorieën van persoonlijke gegevens zijn onderhevig aan aanvullende bescherming. Speciale categorieën van persoonsgegevens omvatten, maar zijn niet beperkt tot, gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, gezondheid, genetische en biometrische gegevens.

Gegevensbeheerder

Een gegevensbeheerder bepaalt alleen of samen met anderen, de doeleinden en middelen van de verwerking van persoonsgegevens. Deze beheerders dragen de primaire verantwoordelijkheid voor naleving van de regels.

Data Processor

Een data processor is elke entiteit die persoonsgegevens verwerkt volgens de instructies van de gegevensbeheerder. Veel serviceproviders zijn bijvoorbeeld processors. Gegevensverwerkers kunnen direct aansprakelijk worden gehouden voor de beveiliging van persoonsgegevens.

Verantwoording

De kern van de GDPR is het concept van verantwoording voor de verwerking van persoonsgegevens. De beheerder is verantwoordelijk voor het naleven van alle privacybeginselen. Bovendien vereist de verordening dat de organisatie naleving van al haar principes kan aantonen.

Toestemming

De toestemming van de betrokkene betekent elke vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige aanduiding van wensen waarmee de betrokkene, door een verklaring of een duidelijke bevestigende handeling, instemt met de verwerking van zijn persoonsgegevens. Organisaties die afhankelijk zijn van toestemming voor hun zakelijke activiteiten, moeten de processen waarmee zij toestemming verkrijgen herzien. Daarbij moeten ze ook voldoen aan de eisen van de GDPR.

Transparantie

De GDPR combineert talrijke transparantieverplichtingen die al in de EU gelden. Gegevensbeheerders moeten op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier informatie verstrekken over de verwerking van persoonsgegevens.

Privacy Impact Assessment (PIA)

Een Privacy Impact Assessment (PIA) is de hoeksteen van het behoud van privacy en bedrijfsprocessen en services die GDPR compliant zijn. Een PIA is bedoeld om een systematische beschrijving van de beoogde verwerkingen te maken en bepaalt de rechtsgrondslag voor de verwerking. PIA’s moeten de aanpak beschrijven die een organisatie zal volgen om de risico’s te beperken.

Privacy by Design

Kort gezegd houdt privacy by design in dat elke nieuwe service of bedrijfsproces die gebruikmaakt van persoonlijke gegevens, de bescherming van die gegevens in aanmerking moet nemen.

Privacy by Default

Privacy by Default betekent simpelweg dat de strengste privacy-instellingen automatisch van toepassing zijn zodra een klant een nieuw product of een nieuwe dienst verwerft. Beheerders of verwerkers mogen alleen gegevens opslaan voor de kortst mogelijke tijd die het kost om een product of dienst te leveren.

Pseudonimiseren

Pseudonimisering is een privacybevorderende techniek waarbij persoonsgegevens worden verwerkt zonder de mogelijkheid om het aan een specifieke persoon te koppelen. Dit wordt bereikt door de informatie niet-toewijsbaar te maken zonder aanvullende informatie, die afzonderlijk moet worden bewaard en onderworpen is aan verschillende technische en organisatorische controles.

Hoewel gepseudonimiseerde informatie nog steeds een vorm van persoonlijke gegevens is, wordt het gebruik ervan sterk aangemoedigd door de GDPR – het wordt zelfs geïdentificeerd als een levensvatbare beveiligingsmaatregel.

Een algemeen begrip van de belangrijkste concepten helpt je aan de slag te gaan.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s