Nieuwe privacywetgeving; wat nu?!

- 29 maart 2018



Op 25 mei 2018 is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) treedt in werking. Deze wet is het resultaat van Europese afspraken over de bescherming van persoonsgegevens, namelijk de GDPR (General Data Protection Regulation). Er is al veel gezegd en geschreven over deze wet. Zo komt er onder meer versterking en uitbreiding van de privacy rechten van de consument en zullen organisaties meer verantwoordelijkheden gaan dragen met betrekking tot de bescherming van persoonsgegevens. Maar wat houdt deze nieuwe wetgeving nou daadwerkelijk in? En wat betekent deze aanscherping van regels precies voor jouw bedrijf? Kortom, hoe ga je hiermee om?

Persoonsgegevens van jou en mij

De AVG is van toepassing op alle bedrijven en organisaties die persoonsgegevens verwerken. Onder deze persoonsgegevens valt niet alleen naam, adres, geslacht of leeftijd, maar ook IP-adressen en alle andere persoonlijke informatie die via cookies wordt opgeslagen en te herleiden is naar een persoon. Deze nieuwe wet moet onder andere voorkomen dat persoonsgegevens zomaar aan derden worden verstrekt en worden gebruikt voor doeleinden waarvoor de gegevens niet zijn verzameld.

Vraag toestemming!

Als bedrijf mag je alleen persoonsgegevens verwerken op basis van de in de AVG genoemde grondslagen. Eén van deze grondslagen is toestemming van de betrokkene. Verzamel je gegevens van jouw websitebezoekers? Bijvoorbeeld voor het versturen van een nieuwsbrief? Geef dan duidelijk aan waarvoor je de gegevens gaat gebruiken en vraag hiervoor toestemming. Nee, niet ergens weggestopt in de Algemene Voorwaarden, maar met opt-in vinkboxjes. Hierbij is het belangrijk dat de bezoekers de vinkboxjes zelf aanvinken en door een actieve handeling akkoord gaan. Is de gebruiker akkoord gegaan? Registreer dit zodat je dit wanneer nodig later terug kunt zoeken.

 

Ook is het belangrijk dat je je klanten informeert over hoe je als bedrijf met hun persoonsgegevens omgaat. Dit kun je bijvoorbeeld opnemen in de privacy statement van je website.

Veilige verwerking van gegevens

Stel; je hebt netjes aangegeven waarvoor je de persoonsgegevens gaat gebruiken en de gebruiker is hiermee akkoord gegaan. Ben je hiermee GDPR compliant? Oftewel, voldoe je nu helemaal aan de AVG? Het antwoord is nee. Na het verzamelen van de gegevens, ben je ook verplicht om een verwerkersovereenkomst op te stellen en deze te laten ondertekenen door alle partijen waarmee de persoonsgegevens worden gedeeld, de zogeheten Verwerkers. Dit zijn ook partijen waar je in eerste instantie niet aan denkt, zoals partners in CRM-software en e-mailmarketingsoftware. Alle partijen die in aanraking komen met de persoonsgegevens moeten een overeenkomst tekenen.

 

Waar begin je? Eigenlijk is het heel simpel. Stel, je deelt persoonsgegevens van jouw klanten met Yellow-online en Yellow-online schakelt een extra partner in om te ondersteunen in e-mailmarketing. Je hebt zelf contact met Yellow-online, maar niet met het e-mailmarketing bureau. Dan sluit je in dit geval een verwerkersovereenkomst af met Yellow-online. Daarnaast sluit Yellow-online een verwerkersovereenkomst af met het e-mailmarketing bureau. Oftewel; elk bedrijf sluit een verwerkersovereenkomst af met de partijen met wie zij een directe samenwerking heeft.

Verwerkersovereenkomst opstellen

Deze verwerkersovereenkomst kun je zelf opstellen. Gebruik hiervoor een bestaand model. Om je op weg te helpen, heb ik de verplichte onderwerpen alvast voor je opgesomd. Ik ga er hierbij vanuit dat jouw organisatie de verwerkingsverantwoordelijke is, oftewel de organisatie die de persoonsgegevens verzameld en met partnerbedrijven (Verwerkers of Sub-verwerkers)deelt.

 

Algemene beschrijving

Hierin benoem je welke persoonsgegevens je verzamelt en voor welk doeleinde je deze nodig hebt. Daarnaast benoem je de rol, rechten en verplichtingen van jouw bedrijf met betrekking tot het verzamelen en delen van persoonsgegevens.

 

Instructies verwerking

Benoem dat de gegevens door de Verwerker worden verwerkt op basis van een schriftelijke instructies van de Verantwoordelijke. Hierbij is de Verwerker het bedrijf die de gegevens verwerkt en de Verantwoordelijke het bedrijf die de persoonsgegevens verzamelt.

 

Geheimhoudingsplicht

Licht toe dat er een geheimhoudingsplicht van kracht is welke nageleefd moet worden. Er wordt zonder toestemming dus geen informatie aan derden verstrekt.

 

Beveiliging

Geef aan dat je als bedrijf alle nodige technische en organisatorische maatregelen treft om de verwerking van de gegevens zo goed mogelijk te beveiligen. Leg uit welke maatregelen je hierin treft. Denk hierbij aan beveiligde verbindingen, versleutelde bestanden en veilige CRM- en e-mailsoftware.

 

Subverwerkers

Zijn er andere organisaties waar de gegevens mee worden gedeeld? Geef dit dan duidelijk aan. Je mag geen Subverwerker inschakelen als hier geen schriftelijke toestemming voor is. Dit kan ook van te voren vastgelegd worden in de verwerkersovereenkomst. Subverwerkers moeten voldoen aan dezelfde verplichtingen. Zorg dus dat er ook een verwerkersovereenkomst wordt getekend door de Subverwerker.

 

Privacyrechten

De consument heeft een aantal rechten wanneer het komt tot het verzamelen van persoonsgegevens. Dit betreft onder meer het recht op inzage, correct, dataportabiliteit en vergetelheid. Als bedrijf moet je hieraan kunnen voldoen. Dit betekent dus dat de persoonsgegevens beschikbaar moeten zijn voor de consument zelf.

 

Andere verplichtingen

Daarnaast is de Verwerker ook verplicht om te helpen bij het melden van bijvoorbeeld datalekken en het uitvoeren van een DPIA (Data Protection Impact Assessment).

 

Gegevens verwijderen

Worden de gegevens niet meer gebruikt voor de toegestane doeleinden? Dan moeten de persoonsgegevens na afloop worden verwijderd of worden terug bezorgd. Ook kopieën moeten worden verwijderd, tenzij je wettelijk verplicht bent om deze te bewaren.

 

Audits

Om te kunnen controleren of het (partner)bedrijf / de Verwerker zich aan de afspraken houdt, moet alle relevante informatie beschikbaar worden gesteld. Het bedrijf is verplicht om mee te werken aan audits.

Wat verder?

Naast het toestemming vragen van gebruikers en het sluiten van verwerkersovereenkomsten worden nog een aantal maatregelen van je verwacht; Zo ben je verplicht om passende technische en organisatorische maatregelen te nemen om de veiligheid van persoonsgegevens te waarborgen. Denk hierbij aan versleuteling en encryptie van de bestanden, maar ook aan het verplicht melden van een datalek bij de Autoriteit Persoonsgegevens. Ook zul je de nieuwe regels en de genomen maatregelen op moeten nemen in je privacybeleid.

Het verzamelen van cookies

Ik hoor je denken; maar hoe zit dat dan met online marketing? Met online marketing verzamelen we data door middel van cookies. Onder deze data valt onder andere het IP adres en het surfgedrag van een gebruiker. Op deze manier kunnen we relevante advertenties laten zien aan een doelgroep die hoogstwaarschijnlijk geïnteresseerd is in het desbetreffende product of dienst.

 

Ter aanvulling op de AVG zal ook een andere wet in het leven worden geroepen; de e-Privacy Verordening. Met deze wet wordt het makkelijker voor online gebruikers om cookies uit te schakelen. Wanneer een gebruiker de cookies uitschakelt, is het niet meer mogelijk om deze gebruiker te volgen. Dit is nadelig voor remarketing campagnes waarbij de online gebruiker na het bezoeken van een website remarketing advertenties te zien krijgt. Enkel gebruikers die de cookies accepteren kunnen worden geretarget met remarketing advertenties.

 

Onder online marketeers bestaan nog veel vragen over deze e-Privacy Verordening. Bijvoorbeeld; Op welke manier wordt het nieuwe cookiebeleid straks toegepast? Waar kunnen gebruikers straks aangeven of ze cookies accepteren? En, worden alle cookies geblokkeerd of alleen de third party cookies? Hoogstwaarschijnlijk laten deze antwoorden nog even op zich wachten. Gelukkig treedt de e-Privacy Verordening voorlopig ook nog niet in werking. Hier hoeven we ons nu dus nog geen zorgen over te maken. Voorlopig blijven de regels hiervoor nog hetzelfde.

 

Al met al zijn er op dit moment een 5-tal belangrijke actiepunten:

  1. Wees transparant in welke persoonsgegevens je verzamelt en voor welke doeleinden je ze gebruikt
  2. Vraag zo nodig toestemming aan de betrokkenen.
  3. Zorg voor een verwerkersovereenkomst met alle partijen waarmee je persoonsgegevens deelt. Yellow-online is al voorbereid en zal op korte termijn al haar klanten een verwerkingsovereenkomst toesturen.
  4. Zorg voor passende technische en organisatorische maatregelen om de veiligheid van de persoonsgegevens de waarborgen
  5. Noem de nieuwe regels en de genomen maatregelen in je privacybeleid

Is het na deze uitleg nog niet helemaal duidelijk welke stappen je als bedrijf moet ondernemen? Bel of mail ons even! Wij helpen je graag!

 

Ga terug naar overzicht