GDPR is de privacy- en beveiligingswet van Europa. Het bepaalt een reeks regels voor het verzamelen en gebruiken van de persoonlijke gegevens van EU-burgers, zowel voor EU-bedrijven als buitenlandse bedrijven.
GDPR behandelt de kernregels voor het verzamelen en gebruiken van persoonlijke gegevens. Het vereist dat jouw bedrijf eerlijk en transparant is over hoe je de gegevens gebruikt die je van je klanten verzamelt. Je zou ook alleen gegevens moeten verzamelen en gebruiken voor doeleinden waar je je klanten over hebt geïnformeerd.
GDPR-richtlijnen gelden ook voor het opslaan van persoonlijke gegevens en bepalen hoe lang je ze mag bewaren, en hoe je ze beschermd houdt. Data security omvat het gebruik van technische maatregelen zoals encryptie en two-factor authenticatie. Het omvat ook organisatorische maatregelen zoals personeelstraining en het beperken van gegevens toegang.
Het VK, vóór Brexit, was ook onderworpen aan GDPR. Toch heeft het VK na Brexit zijn eigen set regels voor GDPR opgesteld. Het wordt nu vaak aangeduid als de UK GDPR.
Dus, het is belangrijk om te begrijpen wat UK GDPR inhoudt als je de gegevens van UK-burgers wilt verzamelen en gebruiken. Laten we bespreken hoe het verschilt van EU GDPR, en welke wetten en regelgeving het databeheer in het VK regelt.
Wat is EU GDPR?
EU GDPR is een wet op gegevensbescherming die in 2018 in de EU van kracht werd. De wet heeft tot doel individuen controle te geven over hun persoonlijke gegevens. Het houdt ook bedrijven verantwoordelijk voor hoe ze hun klantgegevens gebruiken en opslaan. Het is ook een belangrijk aspect van internationale payroll, dus het is belangrijk om vertrouwd te raken met de regelgeving.
EU GDPR heeft zeven kernregels en verantwoordelijkheden waaraan elk bedrijf moet voldoen. Ze omvatten:
1. Rechtmatigheid, eerlijkheid en transparantie
GDPR vereist dat: "persoonlijke gegevens rechtmatig, eerlijk en transparant worden verwerkt." Jouw bedrijf moet een goede reden hebben om iemands gegevens te gebruiken. Dit kan de toestemming van de persoon zijn, een wettelijke noodzaak, of een legitiem belang.
Je kunt niet zomaar gegevens verzamelen omdat het handig is. GDPR vereist een wettelijke reden, en je moet duidelijk en eerlijk zijn tegenover je klanten over waarom je het nodig hebt.
2. Doelbeperking
Wanneer jouw bedrijf persoonlijke gegevens verzamelt, moet je een specifieke reden hebben en deze alleen voor dat doel gebruiken. Je moet je klanten ook informeren over de reden voor het verzamelen van hun gegevens, en documenten hebben die het beoogde gebruik uitleggen. Het is belangrijk om de gegevensverwerking regelmatig te herzien. Wanneer nodig, documenten en procedures snel bijwerken.
3. Gegevensminimalisatie
Onder GDPR moeten bedrijven alleen de gegevens verzamelen die ze nodig hebben. Door minder gegevens te verzamelen, verklein je het risico op problemen bij een datalek. Dit betekent dat je geen onnodige informatie mag vragen, maar alleen wat nodig is om een specifiek doel te bereiken.
4. Nauwkeurigheid
De gegevens die je verzamelt moeten correct en up-to-date zijn. Als iemand je vertelt dat hun informatie is gewijzigd, moet je deze bijwerken. Dit betekent dat je regelmatig gegevens moet controleren en corrigeren om te zorgen dat ze altijd correct zijn.
5. Opslagbeperking
Bewaar persoonlijke gegevens niet langer dan nodig. Zodra je de gegevens niet meer nodig hebt voor het doel waarvoor je ze hebt verzameld, moet je ze verwijderen of anonimiseren. Dit zorgt ervoor dat mensen hun gegevens niet voor altijd blijven behouden, wat riskant kan zijn.
6. Integriteit en vertrouwelijkheid (Beveiliging)
Je moet persoonlijke gegevens beschermen tegen verlies, diefstal of toegang door onbevoegden. Dit omvat het gebruik van sterke wachtwoorden, het versleutelen van gegevens, en ervoor zorgen dat alleen bepaalde personen de gegevens kunnen zien of gebruiken. Bij een datalek moet je dit binnen 72 uur melden om schade te minimaliseren.
7. Verantwoordelijkheid
Organisaties moeten verantwoordelijkheid nemen voor de gegevens die ze verzamelen. Ze moeten ook kunnen aantonen dat ze de GDPR-regels naleven. Dit betekent dat ze duidelijke beleidslijnen moeten hebben, personeel moeten trainen, en kunnen laten zien hoe ze gegevens beschermen. Als er een hoog risico op een dataprobleem is, moeten ze een Data Protection Impact Assessment uitvoeren om potentiële problemen te identificeren en te verhelpen voordat ze zich voordoen.
Deze wet maakt het ook moeilijk voor bedrijven om consumenten te misleiden met verwarrende of vage taal. Het zorgt ervoor dat bedrijven hun websitebezoekers informeren dat ze hun gegevens verzamelen.
Onder GDPR geven klanten en cliënten expliciet toestemming voor het verzamelen van deze informatie. Websites moeten om hun toestemming vragen door hen op een knop te laten klikken of een andere actie te laten ondernemen. Daarnaast moeten sites bezoekers snel informeren als hun persoonlijke gegevens worden gecompromitteerd door een datalek.
Tot slot vereist de wet ook een beoordeling van de databeveiliging van de site. Het bepaalt ook of het bedrijf een toegewijde Data Protection Officer (DPO) moet aanstellen. In sommige gevallen kan een bestaande medewerker deze rol vervullen.
Wat is UK GDPR?
De United Kingdom General Data Protection Regulation (UK GDPR) is de Britse wet die gegevensbescherming regelt. Het is gebaseerd op de EU GDPR en vertoont veel overeenkomsten. De UK GDPR na Brexit behoudt de kernwaarden van EU GDPR, zodat de datastandaarden gehandhaafd blijven.
Wanneer is UK GDPR van toepassing?
Een van de belangrijkste verschillen tussen UK GDPR en EU GDPR ligt in hun toepassingsgebied. De EU GDPR geldt voor elke organisatie, zowel binnen als buiten de EU. Elk bedrijf dat de gegevens van EU-burgers wil verzamelen en verwerken, moet zich aan EU GDPR houden, ongeacht waar het bedrijf is gevestigd.
Aan de andere kant heeft UK GDPR een veel smaller toepassingsgebied. Het geldt voor elk bedrijf dat de persoonlijke gegevens van UK-burgers verzamelt. Het geldt voor bedrijven die in het VK zijn geregistreerd en buiten de VK-grenzen.
Bedrijven die gegevens verzamelen van zowel UK- als EU-burgers moeten zowel EU GDPR als UK GDPR naleven.
Wie zijn de relevante toezichthoudende autoriteiten?
De relevante toezichthoudende autoriteiten die GDPR-regels en -voorschriften handhaven, verschillen ook.
In de EU moet elk land één of meer toezichthoudende instanties oprichten die toezicht houden op en de EU GDPR-regels afdwingen. Deze worden Supervisory Authorities genoemd.
Bovenop minstens één Supervisory Authority in elk lidland wordt de EU GDPR ook beheerd door het European Data Protection Board (EDPB). De board zorgt ervoor dat alle lidstaten GDPR consistent toepassen. Het lost ook geschillen op die tussen hen kunnen ontstaan. EDPB bevordert ook de samenwerking tussen verschillende Supervisory Authorities.
In het VK is de toezichthoudende instantie die de UK GDPR regelt, toeziet en afdwingt, het Information Commissioner’s Office (ICO). De ICO heeft vergelijkbare functies als een van de Supervisory Authorities. Het ministerie voor Wetenschap, Innovatie en Technologie financiert de werking van de ICO.
Wat is het verschil tussen UK GDPR en EU GDPR?
Er zijn verschillende verschillen tussen UK GDPR en EU GDPR. De eerste twee, toepassingsgebied en toezichthoudende autoriteiten, worden in detail behandeld. Maar er zijn nog andere verschillen die een bedrijf dat gegevens van klanten in zowel het VK als de EU verzamelt, moet overwegen.
UK GDPR is aangepast aan het VK’s juridische raamwerk
Omdat EU GDPR meerdere landen onder één paraplu verzamelt, bevat de GDPR-wetgeving verwijzingen naar EU-instellingen. UK GDPR lokaliseert dit naar instellingen binnen het land.
EU GDPR richt zich op alle landen onder haar jurisdictie. UK GDPR beschrijft processen voor samenwerking tussen het VK en EU-instellingen.
De meeste normen voor gegevensbescherming zijn hetzelfde in EU en UK GDPR, maar UK GDPR kent enkele verschillen. Het bevat vrijstellingen voor bepaalde overheidsinstanties. Het vereist ook de aanstelling van data protection officers. Het VK heeft ook strengere eisen voor datalekmeldingen dan de EU.
Persoonlijke gegevensoverdrachten
Persoonlijke gegevensoverdrachten in de EU zijn veel eenvoudiger onder EU GDPR. In essentie beschouwt EU GDPR alle landen binnen haar jurisdictie als dezelfde markt. Dit betekent dat bedrijven in de EU gegevens kunnen overdragen aan andere EU-landen, mits ze voldoen aan de algemene principes van gegevensbescherming.
Brexit heeft ervoor gezorgd dat het VK wordt beschouwd als een aparte jurisdictie onder EU GDPR, vergelijkbaar met Canada of de VS. Hierdoor zijn er meer waarborgen voor het overdragen van gegevens tussen de twee entiteiten. Bijvoorbeeld, bedrijven die gegevens naar het VK overdragen, moeten mogelijk gebruik maken van standaardgegevensbeschermingsclausules of bindende bedrijfsregels om de gegevens veilig te houden.
Verschillen voor vertegenwoordigers
Een ander belangrijk verschil is hoe deze wetten omgaan met vertegenwoordigers. Namelijk, EU GDPR vereist dat derde-land bedrijven die persoonlijke gegevens van hun burgers verzamelen, een vertegenwoordiger in het land waar ze de gegevens verzamelen, moeten hebben.
De UK vereist ook een vertegenwoordiger, maar deze hoeft niet in het VK te zijn gevestigd. Net als bij EU GDPR fungeert deze vertegenwoordiger als contactpunt. Het hoofddoel is om een soepele samenwerking tussen de organisatie en relevante toezichthouders te waarborgen. Maar het VK vereist geen lokale aanwezigheid.
Bedrijven die onder beide GDPRs opereren, moeten mogelijk aparte vertegenwoordigers aanstellen, afhankelijk van de jurisdicties.
OSS-mechanismen
Bedrijven die navigeren onder EU GDPR maken zich vaak zorgen over het omgaan met meerdere Supervisory Authorities. Echter, EU GDPR heeft een bepaling genaamd het OSS-mechanisme, dat een gestroomlijnder proces voor bedrijven mogelijk maakt.
Het OSS-mechanisme stelt bedrijven in staat om slechts met één Supervisory Authority te werken. Het laat het proces nog steeds open voor suggesties van andere Supervisory Authorities indien nodig.
De UK GDPR heeft geen dergelijke bepalingen, omdat het is gelokaliseerd in één land. De Information Commissioner’s Office (ICO) is de enige gelijkwaardige instantie als Supervisory Authority. Het is verantwoordelijk voor alle UK GDPR-besluiten.
Wijzigingen en updates
Het proces voor het wijzigen en updaten van GDPR verschilt ook. Bij EU GDPR gebeuren alle wijzigingen via het EU-wetgevingsproces. Dit is een proces dat collectieve besluitvorming en meerdere toezichthoudende instanties omvat.
De UK GDPR valt onder de Britse overheid. De Britse overheid heeft de bevoegdheid om wijzigingen en updates aan GDPR door te voeren. Hoewel het streeft naar een hoog niveau van gegevensbeveiliging vergelijkbaar met EU GDPR, kan het deze onafhankelijk aanpassen.
Boetes en sancties
De laatste verschil ligt in boetes en sancties. Zowel EU als UK GDPR kunnen besluiten om bedrijven die de regels negeren, te beboeten met vaste bedragen. Of ze kunnen een percentage van de jaarlijkse omzet van het bedrijf eisen. De hoogte hangt af van wat hoger is.
Onder EU GDPR kunnen bedrijven een boete krijgen van €10 miljoen, of 2% voor kleinere overtredingen. De boete kan oplopen tot €20 miljoen, of 4% voor ernstigere overtredingen.
De UK GDPR erkent ook kleinere en grotere overtredingen. Kleinere overtredingen worden beboet met £8.700.000, of 2%. Grotere overtredingen kunnen het bedrijf £17.500.000 kosten, of 4%.
Nalevingsoverwegingen en uitdagingen
Navigeren binnen zowel EU GDPR als UK GDPR kan uitdagend zijn, dus bedrijven moeten zich in detail bewust zijn van het verschil tussen de twee. Hier zijn enkele uitdagingen die je kunt tegenkomen bij het navigeren door de GDPR in deze twee landen:
1. Dual toepassingsgebied
Hoewel er veel overeenkomsten zijn, is het belangrijk om beide te overwegen bij het opstellen van het databeveiligingsbeleid. Bedrijven die in zowel het VK als de EU actief zijn, moeten ervoor zorgen dat hun gegevensbeschermingspraktijken voldoen aan zowel EU- als UK-standaarden.
2. Gegevensoverdrachten
Omdat er geen overeengekomen voorwaarden zijn over gegevensoverdracht tussen het VK en de EU, moet je proberen een passend mechanisme voor gegevensoverdracht te implementeren. Dit kan het opstellen van bindende bedrijfsregels of het gebruik van standaardcontractclausules betekenen.
3. Verschillende vereisten
Er zijn aanzienlijke verschillen tussen de twee GDPRs, dus het is belangrijk om te begrijpen wat ze zijn. Bij het verzamelen van gegevens van zowel UK- als EU-burgers, moet je rekening houden met beide GDPRs en hun verschillen om naleving te behouden.
4. Verhoogde verantwoordelijkheid
De belangrijkste reden om GDPR te volgen, kan zijn dat je wilt dat je klanten en cliënten je vertrouwen. Voor andere bedrijven is het om zware boetes en sancties te voorkomen. Als dat voor jou belangrijk is, moet je overwegen en plannen dat je onder beide GDPRs verantwoordelijk bent.
Waarom is het belangrijk om compliant te blijven met zowel EU als UK GDPR?
Zoals eerder vermeld, is het belangrijk om compliant te blijven met EU en UK GDPR als je gegevens verzamelt van UK- of EU-inwoners.
Een van de belangrijkste redenen om GDPR te volgen, is dat het je helpt vertrouwen op te bouwen bij je klanten. Het bevordert ook transparantie en goede communicatie tussen jou en je klanten. Goede communicatie en vertrouwen zijn gunstig voor je zakelijke reputatie.
GDPR kan je ook helpen je gegevensbeschermings- en verzamelingsprocessen te stroomlijnen. Met de nadruk op het verzamelen van alleen de noodzakelijke gegevens, kan het je bedrijf begeleiden in de beste beveiligings- en opslagpraktijken. Dit helpt je voorkomen dat je onnodige gegevens verzamelt en beheert, en bespaart je de moeite van het opzetten van complexe en dure processen voor gegevensbeheer.
Echter, waarschijnlijk het grootste voordeel voor bedrijven is het handhaven van naleving van de wet. Het helpt je ook om zware boetes en sancties te vermijden die kunnen optreden. Als je klanten niet tevreden zijn over hoe je hun gegevens behandelt, kunnen ze juridische stappen tegen je ondernemen.
In het VK kunnen de boetes voor niet-naleving van GDPR oplopen tot £17,5 miljoen. In de EU kunnen de boetes oplopen tot €20 miljoen.
Best practices voor bedrijven die navigeren onder UK GDPR en EU GDPR
Als bedrijf dat onder beide GDPRs moet navigeren, kun je een paar best practices volgen om naleving te behouden. Natuurlijk zijn er grote verschillen afhankelijk van het soort bedrijf dat je runt, maar over het algemeen zou je moeten:
-
Diepgaand inzicht krijgen in de verschillen tussen UK en EU GDPR
-
Bepalen of je bedrijf naleving vereist van beide, of alleen UK of EU GDPR.
-
Implementeren van alle benodigde gegevensbeschermingsmaatregelen. Houd ze in lijn met de aanbevelingen van de relevante GDPR-regels en -voorschriften.
-
Ten slotte, moet je je databeveiligingsbeleid regelmatig herzien en bijwerken, en op de hoogte blijven van eventuele wijzigingen in de GDPR.
Als je niet zeker weet welke GDPR op jouw bedrijf en bedrijfsvoering van toepassing is, kun je ook overwegen experts in te schakelen om dat voor je te regelen. Raadpleeg relevante autoriteiten om te zorgen dat je bedrijf voldoet aan UK GDPR, EU GDPR, of beide indien nodig.
FAQ’s
Volgt het VK nog steeds EU GDPR?
Het VK volgt de UK GDPR, die veel overeenkomsten vertoont met EU GDPR. Als je een bedrijf bent dat in het VK opereert, maar gegevens verzamelt over klanten uit de EU, moet je nog steeds voldoen aan EU GDPR.
Wat zijn de 7 principes van GDPR in het VK?
De zeven principes van GDPR in het VK omvatten Rechtmatigheid, eerlijkheid en transparantie, Doelbeperking, Gegevensminimalisatie, Nauwkeurigheid, Opslagbeperking, Integriteit en vertrouwelijkheid, en Verantwoordelijkheid.
Geldt UK GDPR alleen voor UK-burgers?
Ja, UK GDPR geldt voor UK-burgers. Elk bedrijf moet voldoen aan de UK GDPR-vereisten bij het verwerken van gegevens van UK-inwoners.
Wat wordt beschouwd als UK GDPR-conforme toestemming?
De UK GDPR heeft duidelijke normen voor wat geldige toestemming betekent. Het vragen om toestemming moet duidelijk en ondubbelzinnig worden geformuleerd. Het moet inhouden dat gebruikers en sitebezoekers door middel van een opt-in klikken. De UK GDPR verbiedt strikt vooraf aangevinkte selectievakjes. Het vereist ook dat websites “granulaire” toestemmingsopties bieden voor verschillende verwerkingsmogelijkheden.