Sinds mei 2016 is de General Data Protection Regulation van kracht. GDPR is ook wel bekend als de Algemene Verordening van Gegevensbescherming. Deze EU-regelgeving is een aanscherping van de bestaande privacywetten. Bedrijven hadden tot 25 mei 2018 de tijd om compliant te zijn met de nieuwe wetgeving.
Mogelijk roept dit nog steeds wat vragen bij u op. Daarom leest u in dat artikel wat de AVG inhoudt. Daarnaast geven wij u tips over wat u zelf kunt doen om te voorkomen dat u in overtreding bent.
Wat is de GDPR?
De GDPR is de nieuwe Europese privacyregelgeving. De wet vervangt de Wet Bescherming Persoonsgegevens (WBP). Deze stamt nog uit 2001 en is dus enorm veroudert. Data speelden een veel minder grote rol in de samenleving.
De oude regelgeving gaat in de GDPR behoorlijk op de schop. In een notendop komt het erop neer dat mensen meer controle krijgen over hun persoonlijke gegevens. Ook gelden er voor bedrijven meer regels voor het beschermen van de privacy.
De belangrijkste punten uit de GDPR:
- U moet een goede reden hebben om data te verwerken. Om persoonsgegevens te verwerken, moet u daar een goede reden voor hebben. Gegevens die u moet verwerken om de overeenkomst met uw klant uit te voeren, vormen een goede grondslag. Als u bijvoorbeeld een rijschool heeft, dan slaat u het adres van uw klant op. Dit heeft u nodig om uw product/dienst te kunnen leveren. Dit is dan ook een goede grondslag. U hoeft hiervoor geen expliciete toestemming aan uw klant te vragen. Het opslaan van de geboortedatum van uw klant heeft u wellicht niet nodig om uw product/dienst te kunnen leveren. Dit gegeven mag u dan niet vragen aan uw klant. Maar het analyseren van de prestaties van uw website, het verzenden van een e-mailnieuwsbrief met nieuwe informatie over een eerder gekocht product is weer wel een goede grondslag. Het verwerken van bijzondere persoonsgegevens, zoals informatie over iemands gezondheid of een vingerafdruk, mag niet.
- Mensen krijgen meer controle over hun gegevens – Mensen hebben het recht om te weten over hoe u met hun persoonsgegevens omgaat. U kunt hiervoor een Privacy Verklaring op uw website plaatsen waarin u dit in begrijpelijke (niet-juridische) taal uitlegt. U moet ook uitleggen waar mensen terecht kunnen om daar vragen over te stellen, hoe ze hun gegevens kunnen inzien, wijzigen of laten verwijderen.
- Verruimde definitie van persoonlijke data – In de GDPR worden onder persoonlijke data niet alleen gegevens verstaan die direct zijn te herleiden naar een persoon, maar ook gegevens die dat indirect mogelijk maken. Denk bijvoorbeeld aan de combinatie postcode-geboortedatum. In het geval er maar één 80-plusser in een straat woont, kan die informatie worden herleid naar die specifieke persoon.
- U blijft verantwoordelijk voor wat uw leveranciers en partners doen – Onder de GDPR blijft u te allen tijde verantwoordelijk voor de data die u verwerkt, ook als u daarvoor derden inschakelt. U kunt zich in het geval van een datalek dus niet verschuilen achter de partij die uw data opslaat. Bovendien bent u verplicht met uw leveranciers een verwerkingsovereenkomst af te sluiten, waarin u vastlegt wat voor data zij verwerken. U heeft dus goed overzicht nodig over alle leveranciers die u inschakelt om gegevens namens u te verwerken, en u moet daar goede afspraken over maken.
Gegevens mogen niet overal worden opgeslagen – Persoonsgegevens mogen volgens de GDPR in principe alleen worden opgeslagen in EU-landen en een aantal door de EU als veilig aangemerkte landen. Goed om daarbij te weten, is dat bij de veilige landen in sommige gevallen aanvullende eisen gelden. De Verenigde Staten staan op deze lijst; echter geldt hierbij een aanvullende voorwaarde dat providers uit de VS moeten voldoen aan de eisen van het Privacy Shield. Als u dus een Amerikaanse cloud provider inschakelt om gegevens op te slaan, en deze provider voldoet niet aan Privacy Shield, dan is dit wettelijk niet toegestaan.
Wat kunt u doen om GDPR-compliant te zijn?
- Leg een intern privacyregister aan – Breng intern in kaart welke persoonsgegevens er in uw organisatie en bij derde partijen worden bewerkt. Niet alleen is het verplicht een dergelijk overzicht met meta-informatie (“Privacy Register”) op te stellen, het helpt u ook te bepalen of u wel een gegronde reden heeft om bepaalde informatie te verzamelen. Wees extra alert op bijzondere gegevens!
- Weet waar uw data staan opgeslagen, zoals bij Flexpulse en uw andere leveranciers. Weet u bijvoorbeeld waar precies de data in uw e-mailmarketingsoftware worden opgeslagen? En welke data bepaalde plugins in uw WordPress-site verwerken en waar ze die opslaan? Gebruikt u WeTransfer, Dropbox of soortgelijke tools om lijsten van e-mailadressen met een leverancier uit te wisselen? Ook hiervan dient u dit te weten.
- Kies uw datapartners zorgvuldig – Behalve de locatie waar ze data opslaan, zijn er nog een aantal zaken om op te letten bij uw datapartners. Hoe veilig slaan zij data op? Stel verwerkingsovereenkomsten met deze partners op, waarin u vastlegt wat voor soort persoonsgegevens zij verwerken en dat ze erop toezien dat dit op een veilige manier gebeurt.
- Bepaal of u een functionaris persoonsgegevens nodig heeft – In de GDPR is de verplichting opgenomen dat bedrijven in specifieke gevallen een functionaris persoonsgegevens (FG) moeten aanstellen. Over het algemeen geldt dit bij overheden en bedrijven die op grote schaal profiling uitvoeren, maar het kan sowieso geen kwaad om uit te zoeken of dit ook het geval is voor uw bedrijf. Ook als u niet onder deze verplichting valt, kunt u ervoor kiezen om een FG aan te stellen. U laat daarmee zien dat u privacy serieus neemt.
Het belang van GDPR-compliancy
Zoals gezegd kan het niet naleven van de GDPR u straks op hoge boetes komen te staan, maar dat zou niet de belangrijkste reden moeten zijn om compliant te zijn. De GDPR is namelijk niets meer dan een update van verouderde privacywetgeving naar de maatstaven van de 21e eeuw. Elk bedrijf dat belang hecht aan de privacy van zijn klanten zou deze nieuwe wetgeving alleen daarom al moeten verwelkomen.
Wat doet Flexpulse om compliant te zijn?
Als Flexpulse zijn wij verwerker van data en het is onze verantwoordelijkheid om daar zorgvuldig mee om te gaan, iets wat we ook in het verleden altijd al hebben gedaan.
We hebben ons privacyregister aangelegd en sluiten verwerkersovereenkomsten met al onze leveranciers af. Het uitnodigen van onze klanten om met ons een verwerkersovereenkomst af te sluiten, indien er gebruik wordt gemaakt van Flexpulse “Plan Rijles” om persoonsgegevens op te slaan is voltooid.
Klanten van Flexpulse hebben de garantie dat hun data in Nederland worden opgeslagen, tenzij zij dat zelf anders aangeven. Zo bent u er dus zeker van dat uw data binnen de EU-grenzen staan opgeslagen en aan de locatie-eisen van de GDPR voldoen.
Hoe zorgt u ervoor dat u compliant bent?