GDPR is de privacy- en beveiligingswet van Europa. Het bepaalt een reeks regels voor het verzamelen en gebruiken van de persoonlijke gegevens van EU-burgers, zowel voor EU-bedrijven als buitenlandse bedrijven.
GDPR behandelt de belangrijkste regels voor het verzamelen en gebruiken van persoonlijke gegevens. Het vereist dat jouw bedrijf eerlijk en duidelijk is over hoe je de gegevens gebruikt die je van je klanten verzamelt. Je zou ook alleen gegevens moeten verzamelen en gebruiken voor doeleinden waarover je je klanten hebt geïnformeerd.
GDPR-richtlijnen gelden ook voor het opslaan van persoonlijke gegevens en bepalen hoe lang je ze mag bewaren, en hoe je ze beschermd houdt. Gegevensbeveiliging omvat het gebruik van technische maatregelen zoals encryptie en twee-factor-authenticatie. Het omvat ook organisatorische maatregelen zoals personeelstraining en het beperken van gegevenstoegang.
Het VK, vóór Brexit, was ook onderworpen aan GDPR. Maar na Brexit heeft het VK zijn eigen set regels voor GDPR opgesteld. Het wordt nu algemeen aangeduid als de UK GDPR.
Dus, het is belangrijk om te begrijpen wat UK GDPR is als je de gegevens van UK-burgers wilt verzamelen en gebruiken. Laten we bespreken hoe het verschilt van EU GDPR, en welke wetten en regelgeving het databeheer in het VK regelt.
Wat is EU GDPR?
EU GDPR is een wet op gegevensbescherming die in 2018 in de EU van kracht werd. De wet heeft tot doel individuen controle te geven over hun persoonlijke gegevens. Het houdt ook bedrijven verantwoordelijk voor hoe ze hun klantgegevens gebruiken en opslaan. Het is ook een belangrijk aspect van internationale payroll, dus het is belangrijk om vertrouwd te raken met de regelgeving.
EU GDPR heeft zeven kernregels en verantwoordelijkheden die elk bedrijf moet volgen. Ze omvatten:
1. Rechtmatigheid, eerlijkheid en transparantie
GDPR vereist dat: "persoonlijke gegevens rechtmatig, eerlijk en transparant worden verwerkt." Jouw bedrijf moet een goede reden hebben om iemands gegevens te gebruiken. Dit kan de toestemming van de persoon zijn, een wettelijke noodzaak, of een legitiem belang.
Je kunt geen gegevens verzamelen omdat het handig is. GDPR vereist een wettelijke reden, en je moet duidelijk en eerlijk zijn tegenover je klanten over waarom je het nodig hebt.
2. Doelbinding
Wanneer jouw bedrijf persoonlijke gegevens verzamelt, moet je een specifieke reden hebben en deze alleen voor dat doel gebruiken. Je moet je klanten ook informeren over de reden voor het verzamelen van hun gegevens, en documenten hebben die het beoogde gebruik uitleggen. Het is belangrijk om de gegevensverwerking regelmatig te herzien. Wanneer nodig, documenten en procedures snel bijwerken.
3. Gegevensminimalisatie
Onder GDPR moeten bedrijven alleen de gegevens verzamelen die ze nodig hebben. Door minder gegevens te verzamelen, verminder je het risico op problemen bij een datalek. Dit betekent dat je geen onnodige informatie mag vragen, maar alleen wat nodig is om een specifiek doel te bereiken.
4. Nauwkeurigheid
De gegevens die je verzamelt, moeten nauwkeurig zijn en up-to-date worden gehouden. Als iemand je vertelt dat hun gegevens gewijzigd zijn, moet je ze bijwerken. Dit betekent dat je regelmatig gegevens moet controleren en corrigeren om te zorgen dat ze altijd correct zijn.
5. Opslagbeperking
Bewaar persoonlijke gegevens niet langer dan nodig. Zodra je de gegevens niet meer nodig hebt voor het doel waarvoor je ze hebt verzameld, moet je ze verwijderen of anonimiseren. Dit zorgt ervoor dat iemands informatie niet voor altijd wordt bewaard, wat riskant kan zijn.
6. Integriteit en vertrouwelijkheid (Beveiliging)
Je moet persoonlijke gegevens beschermen tegen verlies, diefstal of toegang door onbevoegden. Dit omvat het gebruik van sterke wachtwoorden, het versleutelen van gegevens en ervoor zorgen dat alleen bepaalde personen de gegevens kunnen zien of gebruiken. Bij een datalek moet je dit binnen 72 uur melden om schade te minimaliseren.
7. Verantwoordelijkheid
Organisaties moeten verantwoordelijkheid nemen voor de gegevens die ze verzamelen. Ze moeten ook kunnen aantonen dat ze de GDPR-regels naleven. Dit betekent dat ze duidelijke beleidslijnen moeten hebben, personeel moeten trainen en kunnen laten zien hoe ze gegevens beschermen. Als er een hoog risico op een dataprobleem is, moeten ze een Data Protection Impact Assessment uitvoeren om potentiële problemen te identificeren en op te lossen voordat ze zich voordoen.
Deze wet maakt het ook moeilijker voor bedrijven om consumenten te misleiden met verwarrende of vage taal. Het zorgt ervoor dat bedrijven hun websitebezoekers informeren dat ze hun gegevens verzamelen.
Onder GDPR geven klanten en cliënten expliciet toestemming voor het verzamelen van deze informatie. Websites moeten om hun toestemming vragen door hen op een knop te laten klikken of een andere actie te laten ondernemen. Daarnaast moeten websites bezoekers snel informeren als hun persoonlijke gegevens worden gecompromitteerd door een datalek.
Ten slotte vereist de wet ook een beoordeling van de gegevensbeveiliging van de site. Het bepaalt ook of het bedrijf een toegewijde Data Protection Officer (DPO) moet aanstellen. In sommige gevallen kan een bestaande medewerker deze rol vervullen.
Wat is UK GDPR?
De United Kingdom General Data Protection Regulation (UK GDPR) is de Britse wet die gegevensbescherming regelt. Het is gebaseerd op de EU GDPR en vertoont veel overeenkomsten. De UK GDPR post-Brexit behoudt de kernwaarden van de EU GDPR, zodat de datastandaarden gehandhaafd blijven.
Welke gevallen vallen onder UK GDPR?
Een van de belangrijkste verschillen tussen UK GDPR en EU GDPR ligt in hun toepassingsgebied. De EU GDPR geldt voor elke organisatie, zowel binnen als buiten de EU. Elk bedrijf dat de gegevens van EU-burgers wil verzamelen en verwerken, moet zich aan EU GDPR houden, ongeacht waar het bedrijf gevestigd is.
Aan de andere kant heeft UK GDPR een veel smaller toepassingsgebied. Het geldt voor elk bedrijf dat de persoonlijke gegevens van UK-burgers verzamelt. Het geldt voor bedrijven die in het VK zijn geregistreerd en buiten de grenzen van het VK.
Bedrijven die gegevens verzamelen van zowel UK- als EU-burgers, moeten zowel EU GDPR als UK GDPR volgen.
Wie zijn de relevante toezichthoudende autoriteiten?
De relevante toezichthoudende autoriteiten die GDPR-regels en -voorschriften handhaven, verschillen ook.
In de EU moet elk land één of meer toezichthoudende instanties oprichten die toezicht houden op en de GDPR-regels afdwingen. Deze worden Supervisory Authorities genoemd.
Bovenop minstens één Supervisory Authority in elk lidland wordt GDPR ook beheerd door het European Data Protection Board (EDPB). Het bord zorgt ervoor dat alle lidstaten GDPR consistent toepassen. Het lost ook geschillen op die tussen hen kunnen ontstaan. EDPB bevordert ook de samenwerking tussen verschillende Supervisory Authorities.
In het VK is de toezichthoudende autoriteit die GDPR regelt, de Information Commissioner’s Office (ICO). De ICO heeft vergelijkbare functies als een van de Supervisory Authorities. Het ministerie voor Wetenschap, Innovatie en Technologie sponsort de werking van de ICO.
Wat is het verschil tussen UK GDPR en EU GDPR?
Er zijn verschillende verschillen tussen UK GDPR en EU GDPR. De eerste twee, toepassingsgebied en toezichthoudende autoriteiten, worden in detail behandeld. Maar er zijn nog andere verschillen die een bedrijf dat gegevens van klanten verzamelt in zowel het VK als de EU moet overwegen.
UK GDPR is aangepast aan het juridische kader van het VK
Omdat EU GDPR meerdere landen onder één paraplu verzamelt, bevat de GDPR-wetgeving verwijzingen naar EU-instellingen. UK GDPR lokaliseert dit naar instellingen binnen het land.
EU GDPR richt zich op alle landen onder haar jurisdictie. UK GDPR schetst processen voor samenwerking tussen het VK en EU-instellingen.
De meeste normen voor gegevensbescherming zijn hetzelfde in de EU en UK GDPR, maar UK GDPR kent enkele verschillen. Het bevat vrijstellingen voor bepaalde overheidsinstanties. Het vereist ook de aanstelling van data protection officers. Het VK heeft ook strengere eisen voor datalekkenotificaties dan haar EU-tegenhanger.
Persoonlijke gegevensoverdrachten
Persoonlijke gegevensoverdrachten in de EU zijn veel eenvoudiger onder EU GDPR. In wezen beschouwt EU GDPR alle landen binnen haar jurisdictie als één markt. Dit betekent dat bedrijven in de EU gegevens kunnen overdragen aan andere EU-landen. Ze moeten echter wel voldoen aan de algemene principes van gegevensbescherming.
Brexit heeft ervoor gezorgd dat het VK wordt beschouwd als een aparte jurisdictie in de ogen van EU GDPR, vergelijkbaar met Canada of de VS. Als gevolg hiervan zijn er meer waarborgen ingesteld voor het overdragen van gegevens tussen de twee entiteiten. Bijvoorbeeld, bedrijven die gegevens naar het VK overdragen, moeten mogelijk standaardgegevensbeschermingsclausules of bindende bedrijfsregels gebruiken om de gegevens veilig te houden.
Verschillen voor vertegenwoordigers
Een ander belangrijk verschil tussen de twee wetten ligt in hoe deze wetten vertegenwoordigers behandelen. Namelijk, EU GDPR vereist dat derde-landbedrijven die persoonlijke gegevens van hun burgers verzamelen, een vertegenwoordiger in het land waar ze de gegevens verzamelen, hebben.
De UK vereist een vertegenwoordiger, maar deze hoeft niet in het VK te zijn gevestigd. Net als bij EU GDPR fungeert deze vertegenwoordiger als contactpunt. Het belangrijkste doel is om een soepele samenwerking tussen de organisatie en relevante toezichthouders te waarborgen. Maar, het VK vereist geen lokale aanwezigheid.
Bedrijven die onder beide GDPR's opereren, moeten mogelijk aparte vertegenwoordigers aanstellen, afhankelijk van de betrokken jurisdicties.
OSS-mechanismen
Bedrijven die navigeren onder EU GDPR maken zich vaak zorgen over het betrokken zijn bij veel Supervisory Authorities. Echter, EU GDPR bevat een bepaling genaamd het OSS-mechanisme, dat een gestroomlijnder proces voor bedrijven mogelijk maakt.
Het OSS-mechanisme stelt bedrijven in staat om slechts met één Supervisory Authority te werken. Het laat het proces nog steeds open voor suggesties van een andere Supervisory Authority indien de situatie daarom vraagt.
UK GDPR bevat dergelijke bepalingen niet, omdat het is gelokaliseerd in één land. De Information Commissioner’s Office (ICO) is de enige equivalente toezichthouder. Het is verantwoordelijk voor alle beslissingen onder UK GDPR.
Wijzigingen en updates
Het proces voor het wijzigen en updaten van GDPR varieert ook. Bij EU GDPR gebeuren alle wijzigingen via het EU-wetgevingsproces. Dit is een proces dat collectieve besluitvorming en meerdere toezichthoudende instanties omvat.
Maar, UK GDPR valt onder de Britse overheid. De Britse overheid heeft de bevoegdheid om wijzigingen en updates aan GDPR door te voeren. Hoewel het streeft naar een hoog niveau van gegevensbeveiliging vergelijkbaar met EU GDPR, kan het zelfstandig wijzigingen aanbrengen.
Boetes en sancties
Het laatste verschil ligt in boetes en sancties. Zowel EU als UK GDPR kunnen besluiten om bedrijven die de regels negeren, te beboeten met vaste bedragen. Of ze kunnen een percentage van de jaarlijkse omzet van het bedrijf eisen. De hoogte van de boete hangt af van wat hoger is.
Onder EU GDPR kunnen bedrijven worden beboet met €10 miljoen, of 2% voor kleinere overtredingen. De boete kan oplopen tot €20 miljoen, of 4% voor ernstigere overtredingen.
UK GDPR erkent ook kleinere en grotere overtredingen. Kleinere overtredingen worden beboet met £8.700.000, of 2%. De grotere overtredingen kunnen het bedrijf tot £17.500.000 kosten, of 4%.
Nalevingsoverwegingen en uitdagingen
Navigeren door zowel EU GDPR als UK GDPR kan uitdagend zijn, dus bedrijven moeten zich in detail bewust zijn van het verschil tussen de twee. Hier zijn enkele uitdagingen die je kunt tegenkomen bij het navigeren door de GDPR in deze twee landen:
1. Dubbele toepasselijkheid
Hoewel er veel overeenkomsten zijn, is het belangrijk om beide te overwegen bij het opstellen van het gegevensbeveiligingsbeleid. Bedrijven die in zowel het VK als de EU actief zijn, moeten ervoor zorgen dat hun gegevensbeschermingspraktijken voldoen aan zowel EU- als UK-standaarden.
2. Gegevensoverdrachten
Omdat er geen overeengekomen voorwaarden zijn over gegevensoverdracht tussen het VK en de EU, moet je proberen een passende gegevensoverdrachtsmechanisme te implementeren. Dit kan betekenen dat je bindende bedrijfsregels opstelt of vertrouwt op standaardcontractbepalingen.
3. Verschillende vereisten
Er zijn aanzienlijke verschillen tussen de twee GDPR's, dus het is belangrijk om te begrijpen wat ze zijn. Bij het verzamelen van gegevens van zowel UK- als EU-burgers, moet je rekening houden met beide GDPR's en hun verschillen om naleving te behouden.
4. Verhoogde verantwoordelijkheid
De belangrijkste reden om GDPR te volgen, kan zijn dat je wilt dat je klanten en cliënten je vertrouwen. Voor andere bedrijven is het om zware boetes en sancties te vermijden. Als dat laatste voor jou belangrijk is, moet je overwegen en plannen dat je onder beide GDPR's verantwoordelijk bent.
Waarom is het belangrijk om compliant te blijven met zowel EU- als UK GDPR?
Zoals eerder vermeld, is het belangrijk om compliant te blijven met EU- en UK GDPR als je gegevens verzamelt van UK- of EU-bewoners.
Een van de belangrijkste redenen om GDPR te volgen, is dat het je helpt vertrouwen op te bouwen bij je klanten. Het bevordert ook transparantie en goede communicatie tussen jou en je klanten. Goede communicatie en vertrouwen zijn gunstig voor de reputatie van je bedrijf.
GDPR kan je ook helpen je gegevensbeschermings- en verzamelingsprocessen te stroomlijnen. Met de nadruk op het verzamelen van alleen de noodzakelijke gegevens, kan het je bedrijf begeleiden bij de beste beveiligings- en opslagpraktijken. Dit helpt je voorkomen dat je onnodige gegevens verzamelt en beheert, en bespaart je de moeite van het opzetten van complexe en dure processen voor het beheer ervan.
Maar waarschijnlijk is het grootste voordeel voor bedrijven het behouden van naleving van de wet. Met andere woorden, het helpt je om zware boetes en sancties te vermijden die kunnen optreden. Als je klanten en cliënten niet tevreden zijn over hoe je met hun gegevens omgaat, kunnen ze juridische stappen tegen je ondernemen.
In het VK kunnen de boetes voor niet-naleving van GDPR oplopen tot £17,5 miljoen. In de EU kunnen de kosten oplopen tot €20 miljoen.
Best practices voor bedrijven die navigeren onder UK GDPR en EU GDPR
Als bedrijf dat onder zowel UK als EU GDPR moet navigeren, zijn er enkele best practices die je kunt volgen om naleving te behouden. Natuurlijk zijn er belangrijke verschillen afhankelijk van het soort bedrijf dat je runt, maar over het algemeen zou je moeten:
-
Diepgaand inzicht krijgen in de verschillen tussen UK en EU GDPR
-
Bepalen of je bedrijf naleving vereist van beide, of slechts UK of EU GDPR.
-
Implementeren van alle benodigde gegevensbeschermingsmaatregelen. Ze in overeenstemming brengen met de aanbevelingen van de relevante GDPR-regels en -voorschriften.
-
Tot slot, je moet je gegevensbeveiligingsbeleid regelmatig herzien en bijwerken, en op de hoogte blijven van eventuele wijzigingen in de GDPR.
Als je niet zeker weet welke GDPR op jouw bedrijf en bedrijfsvoering van toepassing is, kun je ook overwegen experts in te schakelen om dit voor je te regelen. Raadpleeg relevante autoriteiten om te zorgen dat je bedrijf voldoet aan UK GDPR, EU GDPR, of indien nodig, beide.
