Tijdens je juridisch sollicitatiegesprek wordt van je verwacht dat je kunt aantonen dat je een goed commercieel bewustzijn hebt - en het bespreken van GDPR op een duidelijke en deskundige manier maakt daar deel van uit.
Wat is GDPR?
GDPR (Algemene Verordening Gegevensbescherming) is ingevoerd ter vervanging van de Wet Bescherming Persoonsgegevens uit 1998 en is in 2018 in werking getreden om de rechten van EU-burgers te beschermen. GDPR is een reeks strikte verplichtingen waaraan organisaties en bedrijven moeten voldoen bij het opslaan of verwerken van persoonsgegevens van EU-burgers. Het is opgesteld en aangenomen door de Europese Unie om de controle en rechten die een individu heeft over zijn persoonsgegevens te versterken.
Als je de persoonsgegevens van een EU-burger verwerkt (of de gegevens van burgers in andere landen die GDPR hebben overgenomen), zijn de regels van toepassing - zelfs als je bedrijf of organisatie niet in de EU is gevestigd.
Andere landen (buiten de EU) die GDPR hebben overgenomen zijn onder andere:
Argentinië
Brazilië
Chili
Japan
Kenia
Mauritius
Zuid-Afrika
Zuid-Korea
Turkije
Verenigd Koninkrijk
Om GDPR verder te vereenvoudigen en het gemakkelijker toepasbaar te maken voor bedrijven en organisaties, zijn de zeven principes van GDPR de geest van de verplichtingen en maken ze het gemakkelijker voor mensen om de achtergrond van de regelgeving te begrijpen.
De zeven principes van GDPR
Rechtmatigheid, behoorlijkheid en transparantie
Gegevens die worden verzameld, moeten op een rechtmatige, behoorlijke en transparante manier worden verwerkt. Gegevens moeten worden verwerkt volgens strikte richtlijnen en de manier waarop ze worden gebruikt mag niet schadelijk of onverwacht zijn. De reden waarom het bedrijf of de organisatie de gegevens verzamelt, moet duidelijk en openlijk aan de persoon worden meegedeeld voordat hij instemt om zijn gegevens te delen.
Doelbinding
Alle verzamelde gegevens moeten voor een legitiem doel zijn dat specifiek en expliciet wordt gedeeld. Niet alleen moet de organisatie duidelijk zijn over waarom ze persoonsgegevens verzamelen en verwerken, maar ze moeten ook de doelen registreren als onderdeel van hun registratie en dit beschrijven in hun privacy-informatie.
Gegevensminimalisatie
Alle verzamelde gegevens moeten adequaat en relevant zijn voor de beschreven doeleinden, maar ze moeten ook beperkt blijven tot die doeleinden - dus alleen wat noodzakelijk is.
Ze moeten ook regelmatig worden beoordeeld om ervoor te zorgen dat ze up-to-date zijn en alles wat niet langer relevant en adequaat is, wordt verwijderd.
Juistheid
Gegevensverzamelaars en -verwerkers moeten alle redelijke stappen ondernemen om ervoor te zorgen dat gegevens worden bijgehouden en indien nodig up-to-date worden gehouden, en dat de bewaarde persoonsgegevens niet misleidend of onjuist zijn.
Bewaarbeperking
Persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk is - hoewel dit kan variëren afhankelijk van bepaalde omstandigheden, zoals gegevens die in het algemeen belang zijn of worden gebruikt voor historisch of wetenschappelijk onderzoek. Er zijn specifieke maatregelen van kracht voor gegevens die onder deze categorieën vallen om ervoor te zorgen dat de rechten van individuen worden beschermd.
Integriteit en vertrouwelijkheid
Het verzamelen en verwerken van gegevens brengt extra verantwoordelijkheid met zich mee voor de beveiliging van de gegevens, en de organisatie moet ervoor zorgen dat de gegevens worden beschermd tegen ongeoorloofde toegang en gebruik, maar ook tegen onrechtmatige verwerking.
Verantwoording
De aangewezen gegevensbeheerder (en in sommige gevallen de gegevensverwerkers) van een organisatie zijn uiteindelijk verantwoordelijk voor de gegevens die ze verzamelen, verwerken en opslaan. Om hun verantwoordelijkheid aan te tonen, moeten ze kunnen aantonen dat ze de juiste beschermingsmaatregelen hebben getroffen.
Waarom is GDPR belangrijk voor advocatenkantoren?
GDPR is uiterst belangrijk in advocatenkantoren omdat persoonsgegevens in verschillende vormen en om verschillende redenen worden verzameld.
Een advocatenkantoor heeft een gegevensbeheerder nodig, die de belangrijkste beslisser is als het gaat om het verzamelen, verwerken en opslaan van gegevens. Het personeel van een advocatenkantoor wordt ook beschouwd als gegevensverwerkers, die ervoor zorgen dat het verzamelen en verwerken van gegevens plaatsvindt.
Van belangrijke informatie over cliënten wanneer ze juridische diensten gebruiken (waaronder zaken als adressen en telefoonnummers, evenals financiële informatie), tot de enorme hoeveelheid gegevens die worden verzameld en verwerkt ter voorbereiding op een zaak, advocatenkantoren zullen gebruik maken van persoonsgegevens, wat betekent dat ze onder GDPR verplicht zijn om de regels te volgen als het gaat om EU-burgers.
Of ze nu bulkgegevens of kleinere hoeveelheden ontvangen, het advocatenkantoor moet goed nadenken over hoe ze gegevens verzamelen en gebruiken, en hoe ze deze na verwerking opslaan.
Hoe GDPR bespreken in een sollicitatiegesprek
De achtergrond van GDPR
Het begrijpen van de achtergrond van GDPR en waarom het is ingevoerd, is essentieel voor elke organisatie die met persoonsgegevens werkt. Als je dit kunt bespreken tijdens het sollicitatiegesprek, laat je de recruiters zien dat je een uitstekend commercieel bewustzijn hebt en kennis hebt van het belang van gegevensbeveiliging.
Hoe meer je kunt praten over de geschiedenis van zaken als de Wet Bescherming Persoonsgegevens en hoe deze is vervangen door GDPR - en de zeven principes en hun toepassing - hoe deskundiger je zult overkomen.
De rechten van individuen
Het hele punt van GDPR is het beschermen van de rechten van het individu, en er zijn een paar punten die je naar voren moet brengen bij het bespreken van GDPR.
Ten eerste, het recht om vergeten te worden. Artikel 17 van GDPR stelt een individu in staat om te vragen dat gegevens die over hen worden bewaard, onder bepaalde omstandigheden worden verwijderd. Dit omvat:
Gegevens die onrechtmatig zijn verzameld
Het individu trekt de toestemming voor verwerking in
De gegevens zijn niet langer nodig om te bewaren.
Ten tweede, het belang van het verzoek van de betrokkene. Op elk moment kan een individu verzoeken dat een organisatie alle persoonsgegevens die ze over hen hebben openbaar maakt, en deze verzoeken moeten tijdig worden afgehandeld.
Een mening hebben over GDPR
GDPR is een lastig onderwerp om te begrijpen, dus het is de moeite waard om er wat tijd aan te besteden om er vertrouwd mee te raken. Een van de belangrijkste dingen die je moet doen als het gaat om het leren over GDPR, is een mening ontwikkelen, omdat het gemakkelijker zal zijn om de redenering en de achtergrond van de wetgeving te verwoorden wanneer je er iets over te zeggen hebt.
Oefen het praten over GDPR voor het sollicitatiegesprek - je kunt bijvoorbeeld proberen het aan iemand uit te leggen die er nog geen kennis van heeft - zodat je al voorbereid bent en duidelijk en zelfverzekerd kunt spreken wanneer je het bespreekt tijdens je sollicitatiegesprek.
Hoe GDPR je werk als advocaat zal beïnvloeden
De impact van GDPR op gegevensverzameling voor organisaties is een leerproces geweest, en er zijn bedrijven die nog steeds ver achterlopen als het gaat om het rechtmatig verzamelen en verwerken van gegevens.
Hoe meer je weet over hoe jouw rol als advocaat zal worden beïnvloed door GDPR - en wat dat betekent voor jouw verantwoordelijkheden op het gebied van gegevensbescherming - hoe beter je in staat zult zijn om ervoor te zorgen dat je persoonsgegevens op de juiste manier gebruikt.
Wees voorbereid om je rol als gegevensverwerker te beschrijven en dat je op de hoogte bent van het volgen van de GDPR-regels zoals uiteengezet in de zeven principes, en je zult al beter zijn dan andere sollicitanten. Vergeet niet dat een advocatenkantoor te maken kan krijgen met bulkgegevens (bijvoorbeeld tijdens ontdekking) en dit kan een extra laag complexiteit toevoegen vanwege de enorme hoeveelheid informatie.
Bespreek het laatste nieuws over GDPR
De grootste nieuwsverhalen die voortkomen uit de GDPR-wetgeving gaan meestal over rechtszaken en boetes, maar het is altijd de moeite waard om het nieuws in de gaten te houden voor het geval er iets groots gebeurt - zoals een ander bedrijf dat een boete heeft gekregen voor het schenden van de gegevensnormen, of een ander land dat onderdeel is geworden van de GDPR-regels.
Het is ook een goed idee om op de hoogte te blijven van de resultaten van de verschillende juridische uitdagingen en beroepen die gaande zijn om te zien of de strafmaatregelen worden gehandhaafd.
Uitdagingen waar bedrijven mee te maken krijgen bij de implementatie van GDPR
Bij bijna elk geval waarin er een uitdaging is geweest bij het implementeren van GDPR-maatregelen, is een groot obstakel het aanstellen van de gegevensbeheerder. Soms aangeduid als de Functionaris voor Gegevensbescherming, is dit de persoon die verantwoordelijk is voor het controleren van de naleving en ervoor zorgt dat de organisatie als geheel de relevante richtlijnen volgt. Zij zijn degene die de organisatie adviseert over GDPR-zaken en fungeren als contactpersoon voor individuen om contact op te nemen over hun gegevens wanneer dat nodig is.
De meeste grotere bedrijven, vooral diegenen die gevoelige gegevens verwerken zoals een advocatenkantoor, zouden een speciaal aangewezen persoon als DPO moeten hebben, en het vinden van de juiste persoon voor die rol is een uitdaging.
GDPR-overtredingen
Dit is altijd een interessant onderwerp om over te praten, omdat het laat zien dat zelfs de grootste bedrijven ter wereld het mis kunnen hebben als het gaat om het verzamelen en verwerken van gegevens in overeenstemming met GDPR.
Er zijn een paar gevallen die internationale aandacht hebben getrokken, en dat komt door de enorme financiële boetes die zijn opgelegd. Bijvoorbeeld:
Amazon staat een boete van £636 miljoen te wachten omdat een gericht advertentiesysteem geen juiste toestemming heeft gebruikt.
WhatsApp staat een boete van £118,8 miljoen te wachten omdat ze niet hebben bekendgemaakt hoe gebruikersgegevens met Meta, hun moederbedrijf, zouden worden gedeeld.
H&M staat een boete van £30 miljoen te wachten voor het schenden van voorwaarden bij het omgaan met de privé-informatie van hun werknemers.
Voorbeelden van succesvolle GDPR-implementatiestrategieën
Als tegenhanger van de overtredingen, hoe meer je kunt beschrijven over hoe een succesvolle GDPR-implementatie eruitziet, hoe beter.
Specifieke voorbeelden hiervan zijn online te vinden, of je hebt mogelijk een beschrijving van je eigen eerdere ervaringen die je kunt delen, wat ook zal helpen.
GDPR en Brexit
Het laatste waar je op moet letten, is dat het Verenigd Koninkrijk nu GDPR heeft, ondanks dat het niet langer lid is van de EU.
Voor het VK is GDPR in de wet verankerd, omdat het is aangenomen als onderdeel van de Data Protection Act, en vervolgens was er een wettelijk instrument genaamd The Data Protection, Privacy, and Electronic Communications Regulations 2019 (dat nu bekend staat als de UK GDPR).
In wezen betekent dit dat er voor het VK geen werkelijk verschil is in regelgeving die is ontstaan sinds Brexit, en de naleving is helemaal niet veranderd.
Belangrijkste punten
Als je wilt worden gezien als commercieel bewust tijdens je sollicitatiegesprek in de juridische sector, is een grondige kennis van GDPR handig. Wees bereid om aan te tonen dat je de zeven principes begrijpt, het belang van een uitstekende implementatie erkent, en de mogelijke straffen voor het maken van fouten - en je zult in staat zijn om de wetgeving te bespreken op een manier die zowel relevant is voor de organisatie als voor de bredere juridische sector.
