De nieuwe privacywet en de consequenties voor bedrijven

Vanaf 25 mei is de nieuwe Privacywet voor heel Europa van toepassing. De Algemene verordening gegevensbescherming (AVG of GPDR in het Engels) vergroot de privacy van iedereen in de EU.

Heb je een klantenbestand? Verstuur je wel eens een nieuwsbrief, gebruik je Google Analytics of verwerk je persoonsgegevens in de breedste zin van het woord? Dan geldt deze wet ook voor jouw bedrijf.

Vanaf 25 mei moeten organisaties om expliciete toestemming hebben gevraagd om persoonsgegevens te verwerken. Heb je niet expliciet om toestemming gevraagd, dan kunnen er consequenties volgen.

Meer privacy in het digitale tijdperk

Het vinden van een goede balans tussen de bescherming van de privacy en het gebruik van persoonsgegevens is een van de grootste uitdagingen van het digitale tijdperk. Je hebt waarschijnlijk een paar E-mailaccounts, je winkelt bij verschillende bedrijven, ontvangt nieuwsbrieven, gebruikt Google en je hebt cookies op je pc staan. Overal laat je data achter. Data die niet alleen je naam bevat, maar ook je adres, rekeningnummer, telefoonnummer, zoekgeschiedenis en nog veel meer.

Vanaf 25 mei moet je als bedrijf duidelijk kunnen maken hoe je persoonsgegevens verwerkt en waarom. Je moet een Data Protection Officer benoemen en bepaalde principes en regels doorvoeren.

Waar moet je als bedrijf aan voldoen?

  • Transparantie: de persoon van wie de gegevens verwerkt worden is hiervan op de hoogte en heeft hiervoor expliciet toestemming gegeven.
  • Doelbeperking: de persoonsgegevens worden voor een van tevoren bepaald doel verzameld, en mogen niet voor andere zaken gebruikt worden.
  • Gegevensbeperking: alleen noodzakelijke gegevens mogen worden verzameld.
  • Juistheid: de persoonsgegevens moeten correct zijn en blijven.
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig.
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.
  • Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.

Iedereen krijgt de volgende rechten:

  • Recht op inzage: iedereen heeft recht op inzage van zijn eigen gegevens. Jouw bedrijf dient een overzicht te kunnen verstrekken waarin staat wat je van een persoon weet, wanneer en waarvoor gegevens gebruikt worden, aan wie deze gegevens nog meer verstrekt worden en hoe de gegevens zijn verkregen.
  • Recht op correctie en verwijdering: iedereen mag verzoeken om de correctie, verwijdering of afscherming van zijn persoonsgegevens. Dat kan bijvoorbeeld als gegevens onjuist zijn, onvolledig zijn of niet ter zake doen. Als iemand bezwaar maakt tegen de verwerking van zijn gegevens, moet u hiermee stoppen.
  • Recht op dataportabiliteit: Dit heeft alleen betrekking op digitale gegevens, niet op papieren dossiers. Organisaties worden hierbij verplicht gesteld gegevens in een gestructureerd, veelgebruikt en machine leesbaar format te verstrekken.

Een simpel voorbeeld:

Meneer Janssen is de ongevraagde emails van een winkelketen zat en stuurt de winkelketen een berichtje dat hij geen email meer wil ontvangen. Vervolgens blijft hij mailtjes ontvangen.

Meneer Janssen klaagt bij de toezichthouder, de Autoriteit Persoonsgegevens. Die start een onderzoek op en vraagt alle documentatie over de verwerking van persoonsgegevens op bij de desbetreffende winkelketen.

Die kan niet alles overhandigen, waarna de toezichthouder besluit een bezoekje te brengen  en constateert dat er nooit gevraagd is of men Meneer Janssen mocht mailen. Het adressenbestand was gewoon ergens aangekocht. De toezichthouder geeft de winkelketen een paar weken om de zaken op te lossen. De winkelketen is niet in staat om dit te doen omdat ze er nu pas achter komen dat ze heel anders met de privacy van hun klanten hadden moeten omgaan en dat er veel tijd voor nodig is om dit goed op te zetten.

De consequentie:  een boete, een proces door Meneer Janssen die een schadevergoeding wil, hoge interne kosten om alles aan te pakken en, niet te vergeten, imagoschade.

Wat nu?

Wat in ieder geval belangrijk is, is dat je er nu mee begint. Benoem een Data Protection Officer en kijk wat voor gegevens er momenteel door je organisatie gebruikt wordt, wie er toegang tot heeft, waarvoor het gebruikt wordt en of je voldoet aan de bovenstaande regels.

Pas daarnaast je huidige processen, diensten, cookies op je website en privacy statement aan. Informeer je leveranciers en je klanten. Zorg dat je een standaard document ontwikkelt waarin je gegevens die een klant opvraagt kunt verwerken.

Vat dit ruim op!

Het gaat namelijk niet alleen om gegevens die klanten actief en bewust hebben verstrekt (accountgegevens zoals email, leeftijd of naam). Maar ook gegevens die klanten aan u hebben ‘verstrekt’ door uw dienst of apparaat te gebruiken. Denk bijvoorbeeld aan locatiegegevens, zoekgeschiedenis of andere data. Zorg ervoor dat deze gegevens goed beveiligd zijn en dat u toestemming hebt om gegevens te bewerken. En niet alleen u, maar ook iedereen die de gegevens gebruikt. Als dit een externe partij is kijk dan of uw verwerkersovereenkomst nog accuraat is.

Meer weten? Neem dan contact met ons op.

door: Hans Vervoort
21 maart 2018

Wij maken gebruik van cookies voor een goede werking van de website. Bekijk ons cookie beleid

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close