GDPR-naleving na de Brexit: de UK GDPR en EU GDPR.

GDPR is Europa's wetgeving voor gegevensbescherming en beveiliging. Het bepaalt een reeks regels voor het verzamelen en gebruiken van de persoonlijke gegevens van EU-burgers, zowel voor EU-bedrijven als buitenlandse bedrijven. GDPR dekt de belangrijkste regels voor het verzamelen en gebruiken van persoonlijke gegevens. Het vereist dat uw bedrijf eerlijk en duidelijk is over hoe u de verzamelde gegevens van uw klanten gebruikt. U moet ook alleen gegevens verzamelen en gebruiken voor doeleinden waarover u uw klantenbasis hebt geïnformeerd. GDPR-richtlijnen zijn ook van toepassing op het opslaan van persoonlijke gegevens en regelen hoe lang u deze kunt opslaan en hoe u deze beschermd houdt. Gegevensbeveiliging omvat het gebruik van technische maatregelen zoals versleuteling en tweefactorauthenticatie. Het omvat ook organisatorische maatregelen zoals training van personeel en het beperken van de toegang tot gegevens. Het VK, vóór Brexit, viel ook onder GDPR. Echter, na Brexit heeft het VK zijn eigen set regels voor GDPR gecreëerd. Dit wordt nu algemeen aangeduid als de UK GDPR. Het is dus belangrijk om te begrijpen wat UK GDPR is als u de gegevens van Britse burgers wilt verzamelen en gebruiken. Laten we bespreken hoe het verschilt van EU GDPR en wat de wetten en regelgeving zijn die gegevens in het VK regelen.

Wat is EU GDPR?

EU GDPR is een wet op gegevensbescherming die in 2018 in de EU van kracht werd. De wet heeft tot doel individuen controle te geven over hun persoonlijke gegevens. Het houdt bedrijven ook verantwoordelijk voor hoe ze de gegevens van hun klanten gebruiken en opslaan. Het is ook een belangrijk aspect van internationale payroll, dus het is belangrijk om vertrouwd te raken met de regelgeving. EU GDPR heeft zeven belangrijke regels en verantwoordelijkheden die elk bedrijf moet volgen. Deze omvatten:

1. Rechtmatigheid, Eerlijkheid en Transparantie

GDPR vereist dat: "persoonsgegevens rechtmatig, eerlijk en transparant worden verwerkt." Uw bedrijf moet een goede reden hebben om iemands gegevens te gebruiken. Dit kan zijn de toestemming van de persoon, een wettelijke noodzaak, of een legitiem belang. U kunt geen gegevens verzamelen alleen omdat het handig is. De GDPR vereist een wettelijke reden, en u moet duidelijk en eerlijk zijn tegen uw klanten over waarom u deze nodig hebt.

2. Doelbeperking

Wanneer uw bedrijf persoonlijke gegevens verzamelt, moet u een specifieke reden hebben en deze alleen voor dat doel gebruiken. U moet uw klanten ook informeren over de reden voor het verzamelen van hun gegevens en documenten hebben die het beoogde gebruik uitleggen. Het is belangrijk om de gegevensverwerking regelmatig te herzien. Indien nodig, documentatie en procedures tijdig bijwerken.

3. Gegevensminimalisatie

Volgens GDPR moeten bedrijven alleen de gegevens verzamelen die ze nodig hebben. Door minder gegevens te verzamelen, verkleint u het risico op problemen in geval van een datalek. Dit verplicht om niet om onnodige informatie te vragen, maar alleen om de benodigde informatie om een specifieke reden te voltooien.

4. Nauwkeurigheid

De gegevens die u verzamelt, moeten nauwkeurig en up-to-date worden gehouden. Als iemand u vertelt dat zijn informatie is gewijzigd, moet u deze bijwerken. Dit betekent regelmatig controleren en corrigeren van gegevens om ervoor te zorgen dat deze altijd correct zijn.

5. Opslagbeperking

Bewaar persoonlijke gegevens niet langer dan nodig is. Zodra u de gegevens niet meer nodig hebt voor de reden waarvoor u ze hebt verzameld, moet u deze verwijderen of anonimiseren. Dit zorgt ervoor dat de informatie van mensen niet voor altijd wordt bewaard, wat riskant kan zijn.

6. Integriteit en Vertrouwelijkheid (Beveiliging)

U moet persoonlijke gegevens beschermen tegen verlies, diefstal of toegang door onbevoegden. Dit omvat het gebruik van sterke wachtwoorden, het versleutelen van gegevens en ervoor zorgen dat alleen bepaalde mensen de gegevens kunnen zien of gebruiken. Als er een datalek is, moet u dit binnen 72 uur melden om schade te minimaliseren.

7. Verantwoordingsplicht

Organisaties moeten verantwoordelijkheid nemen voor de gegevens die ze verzamelen. Ze moeten ook bewijzen dat ze de GDPR-regels volgen. Dit betekent het hebben van duidelijke beleidslijnen, het trainen van personeel en kunnen aantonen hoe ze gegevens beschermen. Als er een hoog risico is op een gegevensprobleem, moeten ze een Data Protection Impact Assessment uitvoeren om potentiële problemen te vinden en op te lossen voordat ze zich voordoen. Deze wet maakt het ook moeilijk voor bedrijven om consumenten te misleiden met verwarrende of vage taal. Het zorgt ervoor dat bedrijven. notificeren hun websitebezoekers dat ze hun gegevens verzamelen. Onder GDPR geven klanten en consumenten expliciet toestemming voor deze gegevensverzameling. Websites moeten om hun toestemming vragen door hen te vragen op een knop te klikken of een andere actie te ondernemen. Bovendien moeten websites bezoekers onmiddellijk op de hoogte stellen als hun persoonlijke gegevens worden gecompromitteerd door een inbreuk. Ten slotte verplicht de wet ook een beoordeling van de gegevensbeveiliging van de site. Het bepaalt ook of het bedrijf een toegewijde Data Protection Officer (DPO) moet inhuren. In sommige gevallen kan een bestaand personeelslid deze rol vervullen.

Wat is UK GDPR?

De United Kingdom General Data Protection Regulation (UK GDPR) is de Britse wet die gegevensbescherming regelt. Het is gebaseerd op de EU GDPR en heeft veel overeenkomsten daarmee. De Britse GDPR na Brexit behoudt de kernwaarden van de EU GDPR, waardoor de normen voor gegevensbescherming behouden blijven.

In welke gevallen is UK GDPR van toepassing?

Een van de belangrijkste verschillen tussen UK GDPR en EU GDPR ligt in hun toepassingsgebied. De EU GDPR is van toepassing op elke organisatie, zowel binnen als buiten de EU. Elk bedrijf dat de gegevens van EU-burgers wil verzamelen en verwerken, moet zich houden aan de EU GDPR, ongeacht waar het bedrijf is gevestigd. Aan de andere kant heeft UK GDPR een veel beperkter toepassingsgebied. Het is van toepassing op elk bedrijf dat de persoonlijke gegevens van Britse burgers verzamelt. Het is van toepassing op bedrijven die in het VK zijn geregistreerd en buiten de Britse grenzen. Bedrijven die gegevens verzamelen van zowel Britse als EU-burgers moeten zich houden aan zowel de EU GDPR als de UK GDPR.

Wie zijn de relevante toezichthoudende autoriteiten?

De relevante toezichthoudende autoriteiten die de GDPR-regels en -voorschriften handhaven, verschillen ook. In de EU moet elk land een of meer toezichthoudende instanties oprichten die toezicht houden op en de EU GDPR-regels en -voorschriften handhaven. Deze staan bekend als toezichthoudende autoriteiten. Naast ten minste één toezichthoudende autoriteit in elk lidland, wordt de EU GDPR ook beheerd door de European Data Protection Board (EDPB). De raad zorgt ervoor dat alle lidstaten de GDPR consequent toepassen. Het lost ook eventuele geschillen op die tussen hen kunnen ontstaan. De EDPB bevordert ook de samenwerking tussen verschillende toezichthoudende autoriteiten. In het VK is de toezichthoudende autoriteit die toezicht houdt op en de UK GDPR handhaaft het Information Commissioner’s Office (ICO). De ICO heeft een vergelijkbare functie als een van de toezichthoudende autoriteiten. Het Britse Department for Science, Innovation, and Technology sponsort de werking van de ICO.

Wat is het verschil tussen UK GDPR en EU GDPR?

Er zijn verschillende verschillen tussen de UK GDPR en de EU GDPR. De eerste twee, toepassingsgebied en toezichthoudende autoriteiten, zijn in detail behandeld. Er zijn echter nog verschillende andere verschillen die een bedrijf dat klantgegevens verzamelt zowel in het VK als in de EU in overweging moet nemen.

UK GDPR is aangepast aan het Britse juridische kader

Aangezien de EU GDPR meerdere landen onder dezelfde paraplu verzamelt, bevat de GDPR-wet verwijzingen naar EU-instellingen. De UK GDPR lokaliseert dit naar instellingen binnen het land. De EU GDPR richt zich op alle landen onder haar jurisdictie. De UK GDPR schetst processen voor samenwerking tussen Britse en EU-instellingen. De meeste normen voor gegevensbescherming zijn hetzelfde in de EU en de UK GDPR, maar de UK GDPR heeft enkele verschillen. Het heeft uitzonderingen voor bepaalde openbare autoriteiten. Het verplicht ook de aanstelling van gegevensbeschermingsfunctionarissen. Het VK heeft ook strengere vereisten voor meldingen van gegevensinbreuken dan zijn EU-tegenhanger.

Persoonlijke gegevensoverdrachten

Persoonlijke gegevensoverdrachten in de EU zijn veel eenvoudiger onder de EU GDPR. In wezen beschouwt de EU GDPR alle landen onder haar jurisdictie als dezelfde markt. Dit betekent dat bedrijven in de EU gegevens kunnen overdragen aan andere EU-landen. Ze moeten echter wel voldoen aan de algemene beginselen van gegevensbescherming. Brexit zorgde ervoor dat het VK werd beschouwd als een aparte jurisdictie in de ogen van de EU GDPR, vergelijkbaar met Canada of de VS. Als gevolg hiervan zijn er meer waarborgen ingesteld voor het overdragen van gegevens tussen de twee entiteiten. Bijvoorbeeld, bedrijven die gegevens overdragen aan het VK kunnen. moeten standaardclausules voor gegevensbescherming of bindende bedrijfsregels gebruiken om de gegevens veilig te houden.

Verschillen voor vertegenwoordigers

Een ander significant verschil tussen de twee ligt in hoe deze twee wetten vertegenwoordigers behandelen. Namelijk, de EU GDPR vereist dat bedrijven uit derde landen die persoonlijke gegevens van hun burgers verzamelen, een vertegenwoordiger hebben in het land waar ze de gegevens verzamelen. Het VK vereist een vertegenwoordiger, maar deze hoeft niet in het VK te zijn gevestigd. Net als bij de EU GDPR fungeert deze vertegenwoordiger als het aanspreekpunt. Het belangrijkste doel is om een soepele samenwerking tussen de organisatie en de relevante regelgevende instanties te waarborgen. Maar, het VK vereist geen lokale aanwezigheid. Bedrijven die onder beide GDPR's opereren, moeten mogelijk aparte vertegenwoordigers aanstellen, afhankelijk van de betrokken rechtsgebieden.

OSS-mechanismen

Bedrijven die de EU GDPR navigeren, maken zich vaak zorgen over betrokkenheid bij veel toezichthoudende autoriteiten. De EU GDPR heeft echter een bepaling genaamd het OSS-mechanisme, dat een gestroomlijnder proces voor bedrijven mogelijk maakt. Het OSS-mechanisme stelt bedrijven in staat om slechts met één toezichthoudende autoriteit te werken. Het laat het proces nog steeds open voor suggesties van een andere toezichthoudende autoriteit indien de situatie daarom vraagt. De UK GDPR heeft geen dergelijke bepalingen, aangezien deze is beperkt tot één land. Het Information Commissioner’s Office (ICO) is de enige equivalente toezichthoudende autoriteit. Het is verantwoordelijk voor alle UK GDPR-beslissingen.

Wijzigingen en updates

Het proces voor het wijzigen en bijwerken van de GDPR varieert ook. Bij de EU GDPR vinden alle wijzigingen plaats via het EU-wetgevingsproces. Het is een proces dat collectieve besluitvorming en verschillende regelgevende instanties omvat. Maar, de UK GDPR valt onder de Britse regering. De Britse regering heeft de bevoegdheid om wijzigingen en updates aan de GDPR door te voeren. Hoewel het streeft naar een hoog niveau van gegevensbeveiliging vergelijkbaar met dat van de EU GDPR, kan het onafhankelijk wijzigingen aanbrengen.

Boetes en sancties

Het laatste verschil ligt in boetes en sancties. Zowel de EU als de UK GDPR kunnen besluiten om bedrijven die de GDPR-regels negeren, te beboeten met vaste bedragen. Of, ze kunnen een percentage van de jaarlijkse omzet van het bedrijf nemen. De boete hangt af van welk bedrag hoger is. Onder de EU GDPR kunnen bedrijven worden beboet met €10 miljoen, of 2% voor kleinere overtredingen. De boete kan oplopen tot €20 miljoen, of 4% voor ernstigere overtredingen. De UK GDPR erkent ook kleinere en grotere overtredingen. Kleinere overtredingen worden beboet met £8.700.000, of 2%. De meer significante kunnen het bedrijf £17.500.000 kosten, of 4%.

Overwegingen en uitdagingen voor naleving

Het navigeren van zowel de EU GDPR als de UK GDPR kan uitdagend zijn, dus bedrijven moeten zich bewust zijn van de verschillen tussen de twee. Hier zijn enkele uitdagingen waarmee u te maken kunt krijgen bij het navigeren van de GDPR in deze twee landen:

1. Dubbele toepasselijkheid

Hoewel er veel overeenkomsten zijn tussen de twee, is het belangrijk om beide in overweging te nemen bij het creëren van het gegevensbeveiligingsbeleid. Bedrijven die zowel in het VK als de EU opereren, moeten ervoor zorgen dat hun gegevensbeschermingspraktijken voldoen aan zowel de EU- als de UK-normen.

2. Gegevensoverdrachten

Aangezien er geen overeengekomen voorwaarden zijn voor gegevensoverdracht tussen het VK en de EU, moet u proberen een geschikt mechanisme voor gegevensoverdracht te implementeren. Dit kan betekenen dat u bindende bedrijfsregels opstelt of vertrouwt op standaardcontractbepalingen.

3. Verschillende vereisten

Er zijn significante verschillen tussen de twee GDPR's, dus het is belangrijk om te begrijpen wat deze zijn. Bij het verzamelen van gegevens van zowel Britse als EU-burgers moet u zich bewust zijn van beide GDPR's en hun verschillen om naleving te handhaven.

4. Verhoogde verantwoordelijkheid

De belangrijkste reden om de GDPR te volgen, kan zijn dat u wilt dat uw klanten en cliënten u vertrouwen. Voor andere bedrijven is het om zware boetes en kosten te vermijden. Als het laatste belangrijk voor u is, moet u overwegen en plannen dat u dat zult zijn. accountable onder beide GDPR's.

Waarom is het belangrijk om te voldoen aan zowel de EU als de UK GDPR?

Zoals eerder vermeld, is het belangrijk om te voldoen aan zowel de EU als de UK GDPR als je gegevens verzamelt van inwoners van het VK of de EU. Een van de belangrijkste redenen waarom je zou moeten overwegen om GDPR in je bedrijf te volgen, is dat het je in staat stelt vertrouwen op te bouwen met je klanten. Het bevordert ook transparantie en goede communicatie tussen jullie. Goede communicatie en vertrouwen zullen gunstig zijn voor je bedrijfsreputatie.

GDPR kan je ook helpen je gegevensbescherming en verzamelprocessen te stroomlijnen. Met de nadruk op het verzamelen van alleen de noodzakelijke gegevens, kan het je bedrijf begeleiden door de beste beveiligings- en opslagpraktijken. Dit zal je helpen om onnodige gegevensverzameling en -beheer te vermijden, en je besparen van het opzetten van complexe en dure processen voor het beheren ervan.

Echter, waarschijnlijk het grootste voordeel voor bedrijven is het handhaven van naleving van de wet. Met andere woorden, het helpt bij het vermijden van zware boetes en straffen die kunnen optreden. Als je klanten en cliënten ontevreden zijn over hoe je hun gegevens behandelt, kunnen ze juridische stappen tegen je ondernemen. In het VK kunnen de straffen voor niet-naleving van de GDPR oplopen tot £17,5 miljoen. In de EU kunnen de boetes oplopen tot €20 miljoen.

Beste praktijken voor bedrijven die navigeren door UK GDPR en EU GDPR

Als een bedrijf dat moet navigeren door zowel de UK als de EU GDPR, zijn er een paar beste praktijken die je kunt volgen om naleving te handhaven. Er zijn natuurlijk aanzienlijke verschillen, afhankelijk van welk type bedrijf je runt, maar over het algemeen zou je moeten:

1. Begrijp grondig de verschillen tussen de UK en EU GDPR
2. Bepaal of je bedrijf naleving van beide, of alleen de UK of EU GDPR vereist.
3. Implementeer alle vereiste gegevensbeschermingsmaatregelen. Houd ze in lijn met de aanbevelingen die zijn opgesteld door de relevante GDPR-regels en -voorschriften.
4. Ten slotte, je zou je gegevensbeveiligingsbeleid regelmatig moeten herzien en bijwerken, en op de hoogte blijven van eventuele wijzigingen in de GDPR.

Als je niet zeker weet welke GDPR van toepassing is op je bedrijf en bedrijfssector, kun je ook overwegen om experts in te huren om het voor je af te handelen. Raadpleeg de relevante autoriteiten om ervoor te zorgen dat je bedrijf voldoet aan de UK GDPR, EU GDPR, of indien nodig, beide.

Veelgestelde vragen

Volgt het VK nog steeds de EU GDPR?

Het VK volgt de UK GDPR, die veel overeenkomsten vertoont met de EU GDPR. Als je een bedrijf bent dat in het VK opereert, maar gegevens verzamelt over klanten uit de EU, moet je nog steeds voldoen aan de EU GDPR.

Wat zijn de 7 principes van GDPR in het VK?

De zeven principes van GDPR in het VK omvatten Wettelijkheid, eerlijkheid en transparantie, Doellimiet, Gegevensminimalisatie, Nauwkeurigheid, Opslagbeperking, Integriteit en vertrouwelijkheid, en Verantwoording.

Is de UK GDPR alleen van toepassing op Britse burgers?

Ja, de UK GDPR is van toepassing op Britse burgers. Elk bedrijf moet voldoen aan de UK GDPR-vereisten bij het verwerken van de gegevens van inwoners van het VK.

Wat wordt beschouwd als UK GDPR-conforme toestemming?

De UK GDPR heeft duidelijke normen over wat conforme toestemming betekent. Het verzoek om toestemming moet duidelijk en ondubbelzinnig worden geformuleerd. Het moet gebruikers en sitebezoekers betrekken door middel van een opt-in. De UK GDPR verbiedt strikt vooraf aangevinkte opt-in vakjes. Het vereist ook dat websites "granulaire" toestemmingsopties implementeren voor verschillende verwerkingsopties.