TrophyWebbureau met +10 jaar ervaring
Overig

14 veranderingen van de nieuwe privacywet waar jij mee te maken krijgt

Sinds 24 mei 2016 hebben we te maken met de privacywet AVG. Alle organisaties die persoonlijke gegevens van EU-burgers verwerken, moeten vanaf 25 mei 2018 voldoen aan deze wet.

Voldoe je als organisatie tegen die tijd niet aan de regels, dan loop je een groot risico om een fikse boete te ontvangen die kan oplopen tot 4% van de wereldwijde omzet. Als je nog niet met de voorbereidingen bent begonnen, is het dus hoog tijd om actie te ondernemen. Om je op weg te helpen, hebben we een overzicht gecreëerd van 14 veranderingen waar jouw organisatie waarschijnlijk mee te maken krijgt.

Het doel van de privacywet

Om de veranderingen te begrijpen, is het belangrijk om eerst te weten wat het doel is van de AVG. Een betere bescherming van persoonlijke gegevens staat centraal. De AVG is in het leven geroepen om de originele privacywet uit 1995 te vervangen. In onze huidige digitale wereld was deze namelijk gedateerd. De nieuwe regels benadrukken meer transparantie vanuit organisaties die persoonlijke gegevens verwerken. Organisaties moeten specifiek toestemming vragen aan de betrokkenen voor het gebruik en de verzameling van persoonlijke gegevens. Daarbij hebben betrokkenen recht op inzage en kunnen ze eisen dat hun gegevens worden verwijderd.

1. Van opt-out naar opt-in

Doordat de privacywet van toestemming een eis maakt, vindt er een transitie plaats van opt-out naar opt-in. Ben je in het bezit van gegevens zonder verdere toestemming, dan heb je als organisatie geen recht om deze in te zetten voor marketingdoeleinden. Voor het verzamelen van de gegevens moet je toestemming vragen voor specifiek de doeleinden die jij gaat toepassen. Hoe vraag je toestemming? Door bij een registratieproces of bij de binnenkomst van een website de bezoeker een checkbox voor te schotelen. Deze checkbox moet voorzien zijn van een makkelijk begrijpbare beschrijving van wat je met de gegevens wilt doen.

2. Doel-specifieke toestemming is vereist

Toestemming is doel-specifiek. Wanneer je gegevens wilt gebruiken voor verschillende doeleinden moet je voor elk doel apart toestemming krijgen. Een simpele checkbox ‘Ik accepteer dat mijn gegevens worden gebruikt voor marketingdoeleinden’ is niet voldoende. Je moet voor elk doel apart toestemming vragen, inclusief een heldere toelichting. Je kunt ook meerdere doeleinden opsommen en toestemming vragen voor het hele pakket. Besef wel dat hoe meer je vraagt, hoe minder aantrekkelijk het wordt om toestemming te geven.

3. Dataminimalisatie en -bewaking

Je moet rekening houden met dataminimalisatie en een juiste bewaking van gegevens. Alle gegevens die je onder toestemming verzamelt, moeten noodzakelijk zijn voor de acties waarvoor je toestemming vraagt. De noodzakelijkheid geldt ook voor de toegang tot de gegevens. Je moet namelijk toegang beperken tot de personen binnen een organisatie die de gegevens daadwerkelijk controleren en gebruiken. Ten slotte verplicht de AVG je tot het verwijderen van gegevens die gedateerd of niet meer relevant zijn.

4. Ook bestaande gegevens moeten voldoen aan de regels

De AVG is ook van toepassing op gegevens die je voor de ingang van de wet verwerkt hebt. Je dient dus ook bestaande contacten te vragen om toestemming voor het gebruik van hun gegevens. Gegevens die niet relevant zijn voor jouw doeleinden dien je te verwijderen. Als je van plan was om voor de ingang van de wet nog snel gegevens binnen te harken, besef je dan wel dat je deze ook moet verantwoorden. Wanneer je gebruik maakt van een een externe organisatie die gegevens voor je verwerkt, moet je er zeker van zijn dat die partij ook voldoet aan de AVG.

5. Privacy als standaardinstelling voor producten en diensten

Data minimalisatie geldt ook voor de producten en diensten die je verkoopt en aanbiedt. Deze moeten namelijk worden geleverd met de meest privacyvriendelijke standaardinstellingen. Het is vervolgens aan gebruikers om de instellingen rondom privacy naar eigen keuze te veranderen.

6. Gevolgen voor cookies

Volgens de huidige wetgeving moet je al toestemming vragen wanneer je cookies gebruikt om bezoekers te identificeren of profielen op te bouwen. De privacywet verandert weinig aan deze regels. Het is echter wel mogelijk dat de nieuwe wet beter wordt gehandhaafd. Technisch gezien zijn er op het moment nog veel websites die niet voldoen aan de regels rondom cookies. Als je bijvoorbeeld binnen Google Analytics gebruik maakt van advertentiefuncties, moet je al om toestemming vragen. Wees voorbereid en ga voor jezelf na of je een cookieverklaring moet opstellen of aanpassen.

7. Verplichte risicoberekeningen bij privacyrisico’s

De AVG verplicht in sommige gevallen organisaties om een data protection impact assessment (DPIA) uit te voeren. Dit is een berekening waarmee privacyrisico’s van gegevensverwerking in kaart worden gebracht en de maatregelen waarmee deze kunnen worden verkleind. Een DPIA is alleen verplicht als gegevensverwerking hoge privacyrisico’s met zich meebrengt. In de praktijk is hier onder andere sprake van wanneer:

  • Persoonlijke en/of gevoelige gegevens systematisch en uitvoerig worden verwerkt
  • Op grote schaal persoonlijke gegevens worden verwerkt (denk aan ziekenhuizen, verzekeringsmaatschappijen, zoekmachines en telecomproviders)
  • Op grote schaal personen worden gevolgd in een openbaar gebied (met behulp van bijvoorbeeld bewakingscamera’s)

8. Gegevens kopen wordt moeilijk

Wanneer je gegevens koopt, heb jij de verantwoordelijkheid over de bewaking van deze gegevens. De juiste toestemmingen voor het verwerken van deze gegevens zijn vereist, wil je ze gebruiken voor eigen marketingdoeleinden. Ook moet je de herkomst van de gegevens op papier hebben: waar en wanneer ze zijn verwerkt en welke communicatie daarbij plaatsvond. Het kopen van gegevens wordt op deze manier een complex en risicovol proces.

9. Synchronisatie van communicatiesystemen essentieel

Wanneer een persoon gebruik maakt van het recht om zijn of haar gegevens aan te passen of te laten verwijderen, moet deze verandering worden verwerkt in alle systemen die gegevens behandelen. Vaak bestaan er binnen organisaties verschillende systemen die klantgegevens verwerken. Door deze met elkaar te synchroniseren, voorkom je bijvoorbeeld dat een verdwaalde nieuwsbrief belandt bij een persoon die zich eerder voor alle vormen van communicatie heeft uitgeschreven.

10. Aanpassing privacyverklaring

Een privacyverklaring was al verplicht voor elke website waarmee persoonlijke gegevens worden verzameld. De AVG scherpt de regels rondom deze verklaring wat verder aan. Met het oog op transparantie moet de informatie beknopt, begrijpelijk en makkelijk toegankelijk zijn. Ook moet de verklaring meer duidelijk geven over de bewaartermijn van gegevens, wettelijke grondslag, het klachtrecht van betrokkenen en, indien van toepassing, het gebruik van geautomatiseerde profilering.

11. Aanstellen data protection officer (DPO)

De data protection officer bewaakt de persoonlijke gegevens die worden verwerkt binnen een organisatie en het proces rondom de verwerking. Sommige organisaties worden verplicht om een DPO in dienst te nemen, waaronder:

  • Alle organisaties in de publieke sector 
  • Organisaties waarbij de verwerking van gegevens een uitvoerige en regelmatige observatie vereist
  • Organisaties die gegevens verwerken binnen een gevoelige categorie, bijvoorbeeld gegevens over ras, religie, gezondheid, geaardheid, politiek of strafrechtelijke gegevens

De grootte van een bedrijf behoort niet tot de voorwaarden. Verwerk jij op grote schaal gegevens of zijn deze gegevens gevoelig van aard, dan is de kans groot dat je een DPO moet aanstellen.

12. Niet te vergeten: offline veranderingen

Ook wanneer je ‘offline’ data verzamelt op bijvoorbeeld een evenement of conferentie, ben je verplicht bij het vastleggen van persoonlijke gegevens om toestemming te vragen voor de verwerking en het specifieke gebruik van de gegevens. Hoewel het de flow van een gesprek misschien niet ten goede komt, verplicht de privacywet je om specifieke toestemming te vragen voor je doelen. Je mag verbaal om toestemming vragen, maar antwoorden moeten vervolgens wel worden gedocumenteerd om inzage en verwijdering mogelijk te maken.

13. Trainen van werknemers

De veranderingen van de privacywet zijn ingrijpend voor marketeers en andere werknemers die persoonlijke gegevens verwerken en beheren. Het trainen van de betreffende werknemers vereist dus enige aandacht. Het is echter ook verstandig om globaal werknemers in te lichten over de AVG, omdat de wet een brede invloed heeft op de manier waarop veel organisaties te werk gaan. Een ‘fout’ is snel gemaakt en kan hard worden gestraft. Voorkomen is natuurlijk beter dan genezen.

14. Verantwoording en inzage

Ten slotte moet je als verantwoordelijke aan kunnen tonen dat je voldoet aan alle regels van de privacywet. Je moet inzage kunnen bieden aan de overheid en de personen van wie je gegevens hebt verzameld. Deze personen hebben daarnaast het recht op correctie, eventuele verwijdering en dataportabiliteit. Dataportabiliteit geeft personen het recht om de gegevens te ontvangen die jij van ze hebt verzameld. Deze kunnen ze zelf bewaren of doorgeven aan een andere organisatie. Een verzoek tot inzage moet je binnen 30 dagen verwerken.

Koen

Vragen of hulp nodig bij het aanpakken van de AVG? Ik help je graag!

Fill 1 024-3000316 koen@linku.nl

Benieuwd wat wij voor je kunnen betekenen?

Neem contact op Next line