GDPR

Op 25 mei 2018 gaat de General Data Protection Regulation (GDPR), de nieuwe Europese wet voor databescherming, in. In Nederland noemen we dit de Algemene verordening gegevensbescherming, ook wel AVG. Dit betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU), behalve daar waar de AVG ruimte laat voor nationale afwijkingen. Vanaf dat moment komt de Wet bescherming persoonsgegevens (Wbp) te vervallen. Op deze pagina informeren we u over wat de GDPR inhoudt, wat deze wetgeving betekent voor u als klant en wat u van Interbank kunt verwachten.

Wat is GDPR?

De GDPR maakt duidelijk aan welke voorwaarden iedere vorm van verwerking van persoonsgegevens moet voldoen. Deze wet is niet alleen van toepassing op Europese organisaties die persoonsgegevens (laten) verwerken. De wet geldt ook voor organisaties die niet in de Europese Unie zijn gevestigd, maar die wel persoonsgegevens (laten) verwerken van EU-inwoners.

Op basis van de GDPR is een zogenaamd Privacy Impact Assessment soms verplicht. Dit houdt in dat van tevoren wordt ingeschat welk effect de beoogde verwerkingsactiviteiten hebben op de bescherming van persoonsgegevens. Die beoordeling is vooral verplicht wanneer er bij de verwerking nieuwe technologieën worden gebruikt en er sprake is van een hoog risico.

De GDPR maakt het voor de Autoriteit Persoonsgegevens mogelijk om hogere boetes op te leggen. De maximumboete (bijvoorbeeld voor niet rechtmatig verkregen toestemming of voor niet voldoen aan regels voor data-uitwisseling met niet EU-landen) is € 20 miljoen of 4% van de wereldwijde omzet van het bedrijf.

Wat betekent de GDPR voor u als klant?

  • Transparantie: Bij de GDPR staat transparantie voorop. Wij zijn verplicht om u te informeren over wat er met uw persoonsgegevens gebeurt. Ook moeten wij hierover in eenvoudige en duidelijke taal communiceren. Dit leggen wij uit in het privacy statement dat wij binnenkort op onze website zullen vernieuwen.
  • Bezwaar tegen gegevensverwerking: U hebt te allen tijde het recht om bezwaar te maken tegen de verwerking van uw gegevens. Als u bezwaar indient tegen verwerking voor direct marketing, dan mogen wij uw gegevens niet meer daarvoor verwerken. Bij andere bezwaren mogen wij de gegevens alleen blijven verwerken als daar goede redenen voor zijn. Op basis van de GDPR-wetgeving zullen wij ons privacy statement aanpassen, net als onze processen. We beschermen daarbij uw rechten als consument.
  • Expliciete toestemming nodig: Op basis van de GDPR zijn wij in sommige gevallen verplicht u als klant expliciet om toestemming te vragen om uw gegevens te verzamelen. Onze vraag aan u om toestemming te geven, moet duidelijk en begrijpelijk zijn en in eenvoudige taal zijn geformuleerd. Vragen wij uw toestemming voor meerdere doeleinden? Dan moeten we voor elk doel apart toestemming vragen. Wij moeten namelijk als organisatie kunnen bewijzen dat u toestemming hebt gegeven.
  • Toestemming intrekken: Als klant kunt u altijd uw toestemming intrekken. Ook op dit recht zullen wij u regelmatig wijzen.

Daarnaast hebt u op basis van de GDPR het recht om vergeten te worden, het recht op overdraagbaarheid van uw data, het recht de verwerking te beperken en het recht bezwaar te maken tegen bepaalde verwerkingen.

Wat kunt u van Interbank verwachten?

Interbank moet kunnen aantonen te voldoen aan alle verplichtingen uit de GDPR. Denk hierbij aan de toestemming, gegeven informatie, rechten van betrokkenen, beveiliging van gegevens, het beperken van de verwerkingen en afspraken met bewerkers.

Bewerkersovereenkomsten

Net als onder de Wbp, is het ook onder de GDPR verplicht om een overeenkomst af te sluiten met verwerkers. Door de GDPR zijn een aantal nieuwe verplichte onderdelen aan deze overeenkomst toegevoegd. Ook mag een bewerker niet meer een derde partij inschakelen zonder dat Interbank van tevoren schriftelijke toestemming daarvoor heeft gegeven.

Administratieplicht

Interbank volgt de administratieplicht, waarbij de volgende twee kernbegrippen gelden:

  • ‘Privacy by design’: een systeem is ontworpen om de privacy van betrokkenen zo goed mogelijk te beschermen.
  • ‘Privacy by default’: de standaardinstellingen van het systeem zijn zo privacyvriendelijk mogelijk en er worden niet meer persoonsgegevens verwerkt dan nodig.

Belangrijke principes in de GDPR

De komst van de GDPR brengt de nodige wijzigingen met zich mee voor privacywetgeving. Net als onder de Wbp, zijn er regels die ook onder de GDPR nog steeds van toepassing zijn. We hebben een aantal belangrijke principes op een rijtje gezet:

  • Wij moeten uw persoonsgegevens op een goede, rechtmatige en transparante manier verwerken.
  • Wij mogen uw persoonsgegevens alleen voor een bepaald en duidelijk omschreven doel verwerken.
  • Wij mogen alleen gegevens van u verwerken die noodzakelijk zijn voor dit bepaalde doel.
  • Uw gegevens moeten correct en actueel zijn.
  • Als we uw gegevens niet meer nodig hebben voor het doel, dan moeten we uw persoonsgegevens verwijderen of anoniem bewaren.
  • We moeten uw persoonsgegevens beveiligen met behulp van techniek en maatregelen in onze organisatie.
  • We mogen geen profilering gebruiken als daar rechtsgevolgen aan zijn verbonden of wanneer het besluit u als klant ‘in aanmerkelijke mate treft’. De impact van dit punt wordt nog verder uitgewerkt.

Vragen?

Hebt u vragen over de GDPR? Dan kunt u ook telefonisch contact opnemen met onze klantenservice op 0900 - 86 88 (lokaal tarief). Wij zijn op werkdagen bereikbaar tussen 08.30 uur en 17.00 uur en op zaterdag tussen 10.00 uur en 16.00 uur. U kunt ook mailen naar info@interbank.nl. Onze medewerkers helpen u graag verder.