Author
Sander Tigelaar
Role
Managing consultant

8 feiten die je voorbereiden op de nieuwe AVG privacywet 2018

Published:22 January 2018
Reading time:10 minutes

Op 25 mei 2018 treedt de nieuwe privacywet in werking, de zogenoemde Algemene Verordening Gegevensbescherming (AVG). Deze wet stelt strengere eisen aan privacy en de beveiliging van persoonsgegevens, zowel online als offline. Het is noodzakelijk dat organisaties zich gaan voorbereiden op deze wetswijziging, maar de nieuwe wet roept ook nog veel vragen op. Wij helpen je graag op weg.

 

1. De AVG waarborgt per 25 mei 2018 privacy en veiligheid

De AVG vervangt per 25 mei de huidige Wet bescherming persoonsgegevens en zal gelden voor de hele Europese Unie. AVG is simpelweg de Nederlandse titel voor de Europese General Data Protection Regulation (GDPR). De nieuwe wet zorgt ervoor dat privacy en de veiligheid van persoonsgegevens beter gewaarborgd wordt. Databescherming is bij deze wet dus het kernwoord.

Binnen de nieuwe wet moet het voor iedereen duidelijk zijn wat de rechten en plichten zijn als het gaat om opslag, gebruik en verwerking van persoonsgegevens. Zo moet je als bedrijf straks specifieke toestemming vragen voor de verwerking van persoonsgegevens. Maar wat is specifiek? Dat is op dit moment nog vrij vaag omschreven. De wet behandelt (nog) niet wat concreet wel en niet mag.

 

2. Toestemming voor verwerking van persoonsgegevens is verplicht

Persoonsgegevens zijn alle gegevens die ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is door meerdere bronnen te combineren.

Wat zijn wel persoonsgegevens, en wat niet?

Wel persoonsgegevens Geen persoonsgegevens
E-mailadressen Adwords data
Adresgegevens Google Analytics cookies waarbij je géén persoonsgegevens verzamelt
Namen Bezoeker heeft deelgenomen aan een bepaalde A/B test
IP-adressen
User-ID’s in Google Analytics, waarmee je bezoekers volgt over meerdere devices, zoals desktop en mobiel
Een opgebouwd profiel van een klant

 

3. Bezwaar tegen profilering maken kan straks

Wanneer je profilering toepast dien je op verzoek van de geprofileerde inzicht te kunnen geven in de logica hierachter. Met profilering wordt de geautomatiseerde verwerking van persoonsgegevens bedoeld, waarmee je bijvoorbeeld gedrag evalueert en probeert te voorspellen. Zoals wanneer iemand drie keer vrouwenschoenen besteld en je de klant profileert als vrouw. Met deze informatie mail je vervolgens gericht vrouwenproducten naar deze persoon. Vanaf mei 2018 kan de persoon in kwestie hier bezwaar tegen maken en in dit geval moet je haar uitsluiten voor deze profilering.

 

4. Er zijn persoonsgegevens die je ondanks bezwaar wél mag bewaren

Als een consument zijn of haar persoonsgegevens wil laten verwijderen uit je bestanden, maar je moet de gegevens nog een bepaalde periode bewaren (om te voldoen aan wetgeving). Bijvoorbeeld: het bewaren van administratie voor de belastingdienst.

 

5. Per 25 mei 2018 verandert er een heleboel

  • Er is expliciete toestemming nodig van gebruikers voor het verzamelen en verwerken van persoonsgegevens.

Dit geldt ook voor sollicitanten, personeelsadministratie in de brede zin van het woord, afbeeldingen met personen erop, etc.

  • Deze toestemming moet altijd weer kunnen worden ingetrokken.
  • Het is niet toegestaan meer gegevens te verzamelen dan noodzakelijk.

Wat noodzakelijk is bepaal je zelf, zolang je duidelijk kunt aantonen waar je de gegevens voor gebruikt. Bijvoorbeeld: “Mogen wij jouw schoenmaat hebben, zodat we alleen aanbiedingen doen die nog in jouw maat beschikbaar zijn?”

  • Er geldt een administratieplicht

Er is een administratieplicht zodat altijd inzichtelijk is welke persoonsgegevens verwerkt worden en met welk doel dit gebeurt. Waar komen de gegevens vandaan? Met wie worden ze gedeeld? Van begin tot eind moet in kaart zijn gebracht wat er met de verzamelde data gebeurt. Dit is verplicht voor bedrijven met meer dan 250 werknemers of als sprake is van verwerking met hoog risico.

  • Gebruikers hebben meer en betere privacyrechten:
    • Recht om data in te zien
    • Recht om te worden vergeten
    • Recht op dataportabiliteit – Dit betekent dat een klant niet alleen het recht heeft alle informatie over hem of haar in te zien, maar het ook mag ontvangen. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

 

6. Je loopt kans op een flinke boete bij niet naleven van de AVG

Houd je je niet aan de nieuwe regels of heb je een datalek? Dan wacht er mogelijk een flinke boete op je. De boete is vele malen hoger dan nu en loopt straks op tot 4 procent van de jaaromzet of 20 miljoen euro. Veel bedrijven stellen de implementatie van AVG echter uit vanwege onwetendheid en onzekerheid over waar te beginnen. Geen goede strategie. Zorg dus dat je met een (intern of extern) juridisch team om de tafel gaat zitten en ervoor zorgt dat jouw organisatie voldoet aan deze nieuwe wet. Heb je vragen over de AVG met betrekking tot onze dienstverlening? Vraag ons dan zeker om advies.

 

7. Je kunt genoeg zelf doen om die boete te voorkomen

  • Functionaris aanstellen

In bepaalde gevallen kan het nuttig zijn iemand binnen je organisatie aan te stellen die toezicht houdt op de verwerking van data. Een zogenoemde functionaris voor gegevensverwerking (FG). Deze persoon kan toezicht houden op de naleving van de AVG. Zorg ervoor dat dit niet dezelfde persoon is als degene die beveiligingsmaatregelen ontwikkelt en doorvoert.

  • Assessment uitvoeren

De Autoriteit Persoonsgegevens (de instelling die in Nederland de controle op de AVG uitvoert) heeft een handreiking ter beschikking gesteld zodat organisaties makkelijk zelf een data protection impact assessment (DPIA) kunnen (laten) uitvoeren. Organisaties waarbij de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (zoals de overheid), zijn verplicht zo’n DPIA te laten uitvoeren. Het is echter aan te raden om vrijwillig een DPIA te doen op het moment dat je vermoed dat je systematisch en uitvoerig persoonlijke aspecten evalueert, of bijvoorbeeld op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

  • Sluit een verwerkersovereenkomst

Veel organisaties werken met een extern bureau dat zich ook deels bezighoudt met de verwerking van gegevens, zoals bijvoorbeeld een online marketingbureau. Zorg dat het contract is aangepast aan de nieuwe AVG-regels of sluit een ‘verwerkersovereenkomst’. Dit is een subcontract waarin wordt vastgelegd welke data verwerkt wordt en op welke manier.  Daarnaast legt het vast wie er verantwoordelijk is bij die verwerking en voor eventuele datalekken.

Wij hebben een verwerkersovereenkomst opgesteld die voldoet aan alle juridische eisen. Klant bij ons? Dan benaderen we je hier binnenkort mee. Dat scheelt weer wat hoofdbrekens.

  • Kijk kritisch naar processen en databronnen

Bekijk de beveiliging van je data en privacy van je gebruikers dus goed. Laat klanten zien dat je transparant bent door het proces van dataverwerking in kaart te brengen en te allen tijde beschikbaar te hebben. Kijk naar iedere schakel in het proces. Wees je dus ook bewust van de manier waarop je gegevens deelt met partners met wie je samenwerkt. Er zijn veiligere manieren dan e-mail of Dropbox, om maar een voorbeeld te noemen. Wees alert, wordt bewust en werk aan de naleving van de AVG.

 

8. Win advies in als je niet zeker bent

Begin nu met de voorbereidingen voor de invoering van de AVG. En als wij zeggen nu, bedoelen we eigenlijk gisteren. Bij vragen of technische ondersteuning zijn wij natuurlijk altijd te bereiken.

Author
Sander Tigelaar
Role
Managing consultant
Schedule a CRO audit session
If you're planning optimising your CRO process, one of our experts will discuss your goals and strategies to help you grow
Schedule CRO audit

Drop us a line!

Curious how we could help? Feel free to get in touch. We'd love to hear what you're up to.