ORSYS le mag 2025 logo

Het medium voor training en vaardigheden

Home > Woordenlijst cyberbeveiliging > RGPD 🟩 Regeling

RGPD 🟩 Regeling

Le Algemene verordening gegevensbescherming (GDPR) (Verordening nr. 2016/679) is een Europese wetgeving die een geharmoniseerd wettelijk kader voor de bescherming van persoonlijke gegevens burgers van deEuropese Unie (EU) en deEuropese Economische Ruimte (EER).

Aangenomen op 27 april 2016 die van kracht werd op 25 mei 2018In Frankrijk is de RGPD rechtstreeks van toepassing in alle lidstaten, zonder dat er omzettingswetgeving nodig is. In Frankrijk is de Franse autoriteit voor gegevensbescherming (CNIL) zorgt ervoor dat het wordt toegepast en helpt spelers om het na te leven. In Duitsland houdt de BfDI toezicht op de toepassing en in Spanje de AEPD.

Belangrijkste doelstellingen

 

  1. Individuele rechten versterken om burgers meer controle over hun gegevens te geven en misbruik te beperken.
  2. Empowerment van organisaties (bedrijven, overheden, verenigingen, enz.) die deze gegevens verzamelen en verwerken: organisaties een transparantie- en veiligheidsverplichting opleggen.
  3. De regels harmoniseren in Europa Het doel is om het vrije verkeer van gegevens te vergemakkelijken en tegelijkertijd een hoog beschermingsniveau te garanderen.
  4. De wet aanpassen aan digitale kwesties Reageren op de risico's van nieuwe technologieën (big data, AI, massasurveillance).

 

Fundamentele principes

De RGPD is gebaseerd op 7 structurerende pijlers om een transparante, ethische en veilige gegevensverwerking te garanderen:

  1. Legaliteit, loyaliteit en transparantie
    Gegevens moeten worden verwerkt op een wettelijke basis (toestemming, contract, wettelijke verplichting, etc.), eerlijk en met duidelijke informatie voor de betrokkene.
  2. Doel beperking
    Gegevens mogen alleen worden verzameld voor specifieke, expliciete en legitieme doeleinden en mogen vervolgens niet op een onverenigbare manier worden gebruikt.
  3. Gegevensminimalisatie
    Er mogen alleen gegevens worden verzameld die strikt noodzakelijk zijn voor de gedefinieerde doeleinden.
  4. Nauwkeurigheid van gegevens
    Gegevens moeten nauwkeurig zijn en waar nodig worden bijgewerkt om verwerking op basis van onjuiste informatie te voorkomen.
  5. Behoud beperken
    Persoonlijke gegevens mogen niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze zijn verzameld, tenzij dit wettelijk verplicht is.
  6. Integriteit en vertrouwelijkheid
    Er moeten passende technische en organisatorische maatregelen worden genomen om de veiligheid, integriteit en vertrouwelijkheid van gegevens te garanderen.
  7. Verantwoordingsplicht
    Organisaties moeten hun naleving van de RGPD kunnen aantonen door middel van de implementatie van intern beleid (training, etc.) en rigoureuze documentatie van verwerkingsactiviteiten (registers, audits, etc.).

 

Toepassingsgebied

De RGPD heeft een extraterritoriaal toepassingsgebied.

Het is van toepassing op elke organisatie, publiek of privaat, binnen of buiten de EUals het :

  • Verwerkt persoonlijke gegevens van inwoners van de EU.
  • Biedt goederen of diensten aan (gratis of betaald) aan deze mensen.
  • Hun gedrag monitoren (bijvoorbeeld door browsingpatronen bij te houden of advertenties te richten).

Dit betekent dat zelfs bedrijven die buiten de EU zijn gevestigd (in de Verenigde Staten, China, etc.) worden getroffen als ze gegevens van Europese burgers verwerken.

Hij is daarom van toepassing op onderaannemers (hostingbedrijven, cloud service providers) en aan verantwoordelijken voor de verwerking van gegevens, zelfs als de behandeling gratis is (bijv. sociale netwerken, mobiele applicaties).

👥 Versterkte rechten voor individuen

De RGPD geeft Europese burgers een meer toezicht over hun persoonsgegevens door hun een aantal fundamentele rechten toe te kennen:

  • Recht op toegang een bevestiging krijgen van het bestaan van gegevens die op hen betrekking hebben en binnen 1 maand een kopie ontvangen (gratis, tenzij er misbruik van wordt gemaakt).
  • Recht op correctie verzoeken om correctie van onjuiste of onvolledige gegevens.
  • Recht op wissen ("recht om vergeten te worden") In bepaalde gevallen eisen dat de gegevens worden verwijderd.
  • Recht op beperking van de verwerking Een tijdelijke of permanente beperking van gegevensverwerking aanvragen (bijvoorbeeld tijdens een geschil).
  • Recht op gegevensoverdraagbaarheid gegevens in een gestructureerd formaat ophalen en overdragen aan een andere gegevensbeheerder (bijv. Spotify-afspeellijsten exporteren)
  • Recht op bezwaar zich verzetten tegen de verwerking van gegevens, in het bijzonder in het geval van commerciële prospectie.
  • Recht om niet te worden onderworpen aan een geautomatiseerde beslissing Om te weigeren dat een beslissing met juridische of significante gevolgen uitsluitend wordt gebaseerd op geautomatiseerde verwerking (inclusief profilering).

 

🛡️ Verplichtingen voor organisaties

Om te voldoen aan de RGPD moeten organisaties een aantal maatregelen nemen, waaronder maatregelen en procedures :

  1. Documentatie :
    • Houd een register voor gegevensverwerking (verplicht voor bedrijven met meer dan 250 werknemers of die omgaan met gevoelige data).
    • Schrijven AIPD (effectbeoordelingen) voor activiteiten met een hoog risico (bijv. gezichtsherkenning).
  2. Bestuur :
    • Een DPO (functionaris voor gegevensbescherming) als de verwerkingsactiviteiten grootschalig of gevoelig zijn (gezondheid, justitie).
    • Ondertekening behandelingsovereenkomsten met onderaannemers om hun verplichtingen vast te leggen.
  3. Beveiliging :
    • Technische maatregelen (anonimisering, versleutelde back-ups) en procedures implementeren (toegangsbeheerwaarschuwingen in het geval van een storing).
    • Stel de bevoegde autoriteit binnen 72 uur op de hoogte van datalekken.
  4. Internationale naleving :
    • Gebruik Standaard Contractuele Clausules (VCA) of sommige Bindende bedrijfsvoorschriften (BCR) voor overdrachten buiten de EU.

 

Sancties voor niet-naleving

Gegevensbeschermingsautoriteiten, zoals de CNIL in Frankrijk, hebben de volgende bevoegdheden onderzoeks- en sanctiebevoegdheden.

De straffen kunnen bijzonder streng zijn:

  • Tot 10 miljoen euro of 2 % van de jaarlijkse wereldwijde verkoop voor bepaalde overtredingen.
  • Tot 20 miljoen euro of 4 % van de jaarlijkse wereldwijde verkoop voor de meest ernstige schendingen (bijv. het niet respecteren van de rechten van personen of het ontbreken van een rechtsgrondslag voor de verwerking).

Patches Boetes aangevuld met dwangbevelen (bijv. om illegale behandeling op te schorten) of dagelijkse dwangsommen.

Nationale autoriteiten werken samen via de one-stop shop mechanisme Een multinational rapporteert aan een hoofdautoriteit (bijvoorbeeld de CNIL voor Apple in Europa).

👉 Voorbeelden van straffen :

  • 746 miljoen tegen Amazon (2021) voor niet-conforme tracering van advertenties.
  • 1,2 miljard tegen Meta (2023) voor illegale gegevensoverdracht naar de Verenigde Staten.
Terug naar Woordenlijst

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Systeem- en netwerkbeveiliging, niveau 1

Hacking en beveiliging, niveau 1

Beveiliging van informatiesystemen, samenvatting

BEST

Op weg naar de ORSYS Cyber Academy: een gratis ruimte gewijd aan cyberbeveiliging