GDPR staat voor General Data Protection Regulation en omvat een set regels opgesteld door de Europese Unie, gericht op privacy en persoonsgegevensbescherming. De GDPR is geëffectueerd per 25 mei 2018 en is specifiek gericht op individuen binnen de EU en de Europese Economische Ruimte (EER).
De GDPR is ook bekend als de AVG (Algemene Verorderning Gegevensbescherming) en versterkt de grondrechten van burgers in het digitale tijdperk. De GDPR biedt burgers meer controle over hun persoonlijke gegevens en legt strikte regels op aan organisaties die met deze gegevens omgaan.
De belangrijkste punten uit de GDPR gaan over recht op toegang (weten of, waar en voor welke doeleinden persoonsgegevens worden verwerkt); recht op rectificatie en verwijdering van online gegevens; Data Portabiliteit (het recht om persoonsgegevens over te dragen van de ene dienstverlener naar de andere) en toestemming die benodigd is voor het opslaan en/of verwerken van persoonsgegevens.
Andere elementen zijn de meldplicht datalekken (organisaties moeten binnen 72 uur na het ontdekken van een datalek dit melden bij de relevante autoriteit) en Privacy by Design en by Default.
Naleving van de GDPR is verplicht voor alle organisaties die persoonsgegevens van EU-burgers verwerken, ongeacht waar de organisatie gevestigd is. Overtredingen van de GDPR kunnen beboet worden door nationale toezichthouders. Boetes kunnen oplopen tot 4% van de wereldwijde jaaromzet van een bedrijf.