General Data Protection Regulation, kortweg GDPR, is de meest gebruikte, Engelse, benaming voor de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Je hebt vast al iets over de GDPR privacywetgeving gehoord. De privacywetgeving in Nederland heeft met de GDPR een nieuwe, strengere gegevensbeschermingswet.
Vanaf deze datum geldt dezelfde privacywetgeving in de hele Europese Unie (GDPR EU). De nieuwe privacywetgeving ‘GDPR Nederland’ heeft als doel om de personen te beschermen die kunnen worden gelinkt aan privacygevoelige gegevens die organisaties bezitten. 25 mei 2018 lijkt ver weg, maar de maatregelen die
Vanaf 25 mei 2018 zullen organisaties moeten kunnen aantonen dat ze voldoen aan de eisen van de GDPR privacywetgeving. Dit betekent tot dat moment veel (extra) werk en daarom kun je er niet vroeg genoeg mee beginnen. Ook mailings over GDPR en de expliciete toestemming die daarin (soms) wordt gevraagd, zijn onderdeel van de transparantie die bedrijven en organisaties na het van kracht worden van de GDPR moeten kunnen aantonen. Dit is echter maar een klein onderdeel van de voorbereidende maatregelen die moeten worden getroffen. In deze blog kijken we in grote lijnen naar de invulling van GDPR compliance binnen bedrijven en organisaties.
Bewustwording! Bewustwording!
Op de hoogte zijn van de veranderingen die de wetgeving met zich meebrengt, is essentieel. Hieronder vallen meerdere zaken.
Allereerst is het belangrijk dat medewerkers op de hoogte zijn van de definitie van persoonsgegevens. Sta stil bij het feit dat je wellicht ook zogenaamde bijzondere persoonsgegevens verwerkt. In het laatste geval zijn er bepaalde extra onderdelen van de GDPR verplicht.
Ten tweede is de definitie van verwerking belangrijk. Simpel gezegd valt alles wat een bedrijf doet met persoonsgegevens van betrokkenen, te zien als verwerking. Het opslaan, wijzigen of verwijderen van persoonsgegevens zijn verwerkingen. De kans is dan ook nihil dat je in het digitale tijdperk zonder (digitale) verwerking van persoonsgegevens kunt bedrijfsvoeren.
Betrokkenen (mensen van wie je als bedrijf persoonsgegevens verwerkt) krijgen twee nieuwe privacyrechten en de huidige privacyrechten uit de Wbp (Wet bescherming persoonsgegevens) worden aangescherpt. Voor bedrijven en organisaties betekent dat dus dat deze rechten moeten worden gewaarborgd. Alleen al om de forse boetes te voorkomen, is dat verstandig.
De belangrijkste vernieuwingen rondom de GDPR zijn in deze zes pijlers op te delen:
Bedrijven moeten betrokkenen informeren over hoe je de persoonsgegevens verzamelt en verwerkt. Dit moet op een begrijpelijke manier worden gecommuniceerd.
Er is meer nadruk op de verantwoordelijkheid van bedrijven om zelf aan te kunnen tonen dat zij zich aan de wet houden. Bedrijven hebben een documentatieplicht, een bewijsplicht en de verantwoordelijkheid om privacyrisico’s met betrekking tot persoonsgegevens terug te dringen.
Het recht om de eigen gegevens in te zien, te corrigeren of te verwijderen.
Het recht om eigen persoonsgegevens op te vragen in een toegankelijk bestandsformaat (bijv. Excel) en deze over te dragen aan andere bedrijven.
Het recht om te worden vergeten: bedrijven moeten persoonsgegevens wissen als de persoon hierom vraagt. Dit dient per direct te gebeuren en uiterlijk binnen een maand. Let op: dit geldt ook voor data die inmiddels zijn gedeeld met derden.
Bedrijven zijn verplicht om binnen 72 uur een datalek te melden, tenzij kan worden aangetoond dat het lek geen gevaar is voor de personen van wie de gegevens zijn verzameld.
Bij privacy by design zorg je ervoor dat bij de ontwikkeling van nieuwe producten of diensten er standaard technisch en organisatorisch zorgvuldig met persoonsgegevens wordt omgegaan. Privacy by default betekent dat je maatregelen neemt om standaard alleen de noodzakelijke gegevens te verzamelen voor het doel waarvoor je ze verzamelt.
Ben je een verwerker of sub-verwerker van persoonsgegevens? Dan dien je een overeenkomst af te sluiten met desbetreffende partijen. Hierin kent de GDPR drie partijen: de verwerkingsverantwoordelijke, de verwerker en een mogelijke sub-verwerker. De verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. De partij die de verwerking realiseert, is de verwerker en een mogelijke derde partij die ingeschakeld is om een deel van de verwerking te doen in verband met een tijdelijk tekort aan personeel, wordt dan gezien als sub-verwerker. Tussen deze partijen dienen de overeenkomsten te worden gesloten met als doel de betrokkene te garanderen dat ook derden maatregelen hebben getroffen om diens persoonsgegevens te beschermen.
Voor jouw oude gegevens is de GDPR met terugwerkende kracht van toepassing op de persoonsgegevens die je tot nu toe hebt verzameld. Echter, je mag persoonsgegevens zonder toestemming verwerken als jouw belang zwaarder weegt dan het privacybelang van de persoon.
Het gaat hier om de juridische term ‘gerechtvaardigd belang’. Hierin weeg je de privacyschade van de persoon af tegen jouw marketingbelang. Het versturen van een nieuwsbrief naar een e-mailadres zorgt hierbij voor een beperkt risico met betrekking tot de privacy van de persoon. Jouw belang is hierdoor in veel gevallen zwaarder en dit zou kunnen betekenen dat een rechter jou waarschijnlijk (!) in het gelijk zal stellen.
Wil je geen enkel risico lopen op overtreding? Zorg dan dat je ook expliciete toestemming vraagt aan de oude contacten voor het doel waarvoor je ze wilt benaderen. Verder is het aan te raden een scheiding tussen klanten en overige relaties aan te maken. Klanten kunnen zich namelijk bij een koopovereenkomst proactief inschrijven voor mailings waarin je communiceert over voor hen relevante producten of diensten.
Concluderend wordt er van bedrijven en organisaties, hoe klein of groot ook, een redelijke verantwoordelijkheid verwacht. Dit dient van de werkvloer tot aan het management bekend te zijn. Hoe verder men in het proces van voorbereiding op de GDPR komt, hoe meer complexe zaken er aan het licht kunnen komen waar men graag de tijd voor neemt. Het is al vele malen geroepen in soortgelijke blogs en mailings: de tijd begint nu echt krap te worden. Zorg ervoor dat je GDPR compliant bent met ingang van 25 mei 2018 zodat je je wederom kunt concentreren op bedrijfsvoeren.
Op het gebied van de nieuwe GDPR privacywetgeving in combinatie met Act! CRM?
Op het gebied van algemene ICT binnen je organisatie met betrekking tot de nieuwe GDPR privacywetgeving?
Liever een GDPR kennissessie bij jou op locatie? Vraag een kennissessie aan met één van onze TendenZ adviseurs voor slechts € 195,-.