Let op: de nieuwe privacyregels komen eraan!

Zoals je waarschijnlijk al hebt gehoord treedt er op 25 mei 2018 een nieuwe wet in werking voor de bescherming van persoonsgegevens. Deze nieuwe wet is bekend onder de namen ‘Algemene Verordening Gegevensbescherming’ (AVG) en ‘General Data Protection Regulation’ (GDPR). Hieronder hebben we een paar van de belangrijkste zaken op een rij gezet.

De nieuwe wet geldt voor de gehele EU en vervangt de ‘EU Data Protection Directive’ uit 1995 én onze eigen Nederlandse privacywetgeving. De huidige wetten zijn verouderd en in de afgelopen 22 jaar is de hoeveelheid data die we opslaan en digitaal versturen enorm toegenomen. Denk daarbij vooral ook aan e-maildiensten (o.a. Google Gmail), clouddiensten (o.a. Microsoft OneDrive / Office 365, Google G Suite / Google Drive en Apple ICloud), social media (o.a. Facebook en Twitter) en berichtendiensten (o.a. WhatsApp). De nieuwe privacywet heeft echter niet alleen betrekking op digitale data, maar ook op data die op papier zijn opgeslagen en zich in jouw bedrijf of in een externe opslag bevinden (bijvoorbeeld een archief).

In het recente verleden zijn er helaas regelmatig datalekken in het nieuws geweest door verlies of diefstal van laptops en USB-sticks en door inbraak op servers en de daaropvolgende diefstal van persoonsgegevens. Mede hierdoor worden de reeds bestaande regels flink aangescherpt, zal er beter op worden gecontroleerd en zullen er hogere boetes uitgedeeld gaan worden bij overtreding. De controle en handhaving van de nieuwe privacywet wordt in Nederland uitgevoerd door de Autoriteit Persoonsgegevens. De Consumentenbond wijst particulieren al jarenlang op het gevaar van het (ongemerkt) weggeven van privacygevoelige persoonsgegevens op o.a. websites.

In het kort zorgt de nieuwe wet ervoor dat een eigenaar van persoonsgegevens (het zogenaamde ‘data subject’) meer rechten en bescherming krijgt. Een bedrijf of (overheids)instelling kan vanaf 25 mei 2018 alleen nog maar noodzakelijke persoonsgegevens vragen en gebruiken. De opslag van de ontvangen digitale of fysieke data moet daarnaast goed beveiligd zijn. Dit betekent o.a. dat de data binnen een bedrijf versleuteld opgeslagen moet worden, met adequate logins moet worden beschermd en niet voor iedere medewerker toegankelijk mag zijn.

Voorbeelden van persoonsgegevens zijn: naam, adres, e-mailadres, IP-adres en cookies (alleen als de cookie een gebruiker uniek identificeerbaar maakt). Daarnaast zijn er ook bijzonder privacygevoelige persoonsgegevens zoals burgerservicenummer, ras, gezondheid, godsdienst, strafrechtelijk verleden en politieke overtuiging.

De nieuwe privacywet verplicht bedrijven of (overheids)instellingen om expliciet toestemming aan de eigenaar van de persoonsgegevens te vragen voor de opslag en het gebruik van die persoonsgegevens. Belangrijk is om te evalueren of dit nu al correct gebeurt en het proces waar nodig aan te passen. Hiernaast moet een bedrijf of (overheids)instelling op verzoek aan kunnen tonen dat er toestemming is verkregen voor de verwerking van de persoonsgegevens en kan de eigenaar van de persoonsgegevens verzoeken om die toestemming voor hem in te trekken en/of om de data te verwijderen. Dit heet het ‘recht om vergeten te worden’. Ook kan de eigenaar van de persoonsgegevens vragen om een export van de bewaarde persoonsgegevens naar hem op te sturen. Dit heet het ‘recht op dataportabiliteit’.

Het is belangrijk te weten dat de nieuwe privacywet twee verplichte uitgangspunten heeft, te weten: ‘privacy by design’ en ‘privacy by default’.

  1. Privacy by design houdt in dat er al bij het ontwerp van producten en diensten voor gezorgd moet worden dat persoonsgegevens goed worden beveiligd.
  2. Privacy by default houdt in dat er technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat er standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken en dat die gegevens niet langer worden bewaard dan nodig. Dit betekent in de praktijk o.a. dat op een website checkboxes niet vooraf aangevinkt zijn en dat er geen onnodige gegevens worden gevraagd voor de inschrijving op een digitale nieuwsbrief.

Het is belangrijk om uit te (laten) zoeken welk effect de nieuwe privacyregels op jouw eigen bedrijf hebben en op de (klanten)data die je zelf opslaat en gebruikt. Idealiter ben je daar reeds mee bezig gezien de complexiteit en het grote belang. Je wilt immers geen hoge boete ontvangen omdat jouw bedrijf op 25 mei 2018 nog niet aan de nieuwe privacywet voldoet. Ook InfoTrade is hier druk mee bezig en heeft in dat kader op 12 december deelgenomen aan het ‘Google Cloud and GDPR’ event.

Een extra reden om aan de nieuwe privacywet te voldoen en daar duidelijk melding van te maken is dat dit extra vertrouwen oplevert bij (potentiële) klanten. Vermeld dit dus in jouw communicatie en op jouw website (vooral bij elk formulier). Een artikel op Marketingfacts.nl stelt zelfs dat de nieuwe privacywet relevantere, kwalitatievere nieuwsbriefabonnees op kan leveren.

Als je de privacyrisico’s van een project (bijvoorbeeld de ontwikkeling van een nieuwe app) in een vroeg stadium uit wilt zoeken kun je een zogenaamd ‘Privacy Impact Assessment’ (PIA) laten uitvoeren. Op die manier weet je vooraf of het project zal voldoen aan de nieuwe privacywet en voorkom je kosten om achteraf aanpassingen te laten maken.

Het is wellicht verstandig dat je een ‘Functionaris voor de Gegevensbescherming’ (FG, ook wel ‘data privacy officer’) in jouw bedrijf aanstelt die het onderzoek vooraf leidt, die toeziet op de implementatie en naleving van nieuwe werkwijzen, die regelmatig controles uitvoert en die precies weet wat er moet gebeuren als er onverhoopt toch data zijn gelekt (ook i.v.m. de meldplicht hiervoor).

Voor InfoTrade en haar klanten is vooral Google een belangrijke partner waar data worden opgeslagen en gebruikt (o.a. Google G Suite, AdWords en Analytics). Google heeft aangegeven dat ze alles in het werk stelt om met haar services volledig te voldoen aan de vereisten van de nieuwe privacywet. Google mag ook niets met data doen waar de eigenaar van die data geen toestemming voor heeft gegeven. Dat jouw bedrijfsdata veilig bij Google zijn opgeslagen is echter nog niet genoeg om aan de privacywet te voldoen. Ook jouw eigen bedrijf en jouw werkwijzen moeten voldoen aan de eisen. Gebruik maken van de services van Google scheelt i.i.g. al enorm.

InfoTrade zal voorafgaand aan 25 mei 2018 op de website duidelijk maken hoe wijzelf aan de nieuwe privacywet voldoen en hoe we zelf (klanten)data opslaan.

Zie voor meer meer informatie o.a.:
https://autoriteitpersoonsgegevens.nl/
https://www.google.com/cloud/security/gdpr/
https://www.microsoft.com/en-us/TrustCenter/Privacy/gdpr/default.aspx
https://www.marketingfacts.nl/berichten/wat-betekent-gdpr-voor-consumenten
https://www.marketingfacts.nl/berichten/die-nieuwe-privacywet-mag-je-gewoon-negeren