(function(h,o,t,j,a,r){ h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)}; h._hjSettings={hjid:780607,hjsv:6}; a=o.getElementsByTagName('head')[0]; r=o.createElement('script');r.async=1; r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv; a.appendChild(r); })(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv='); __sgConfig = { c: '001-471f4437-f189-4bcc-a123-b4950fb378bf', siteid: ''};
« Terug naar blog hoofdpagina

GDPR - een goede voorbereiding is het halve werk

General Data Protection Regulation, kortweg GDPR, is de meest gebruikte, Engelse, benaming voor de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Je hebt vast al iets over de GDPR privacywetgeving gehoord. De privacywetgeving in Nederland heeft met de GDPR een nieuwe, strengere gegevensbeschermingswet.

Vanaf deze datum geldt dezelfde privacywetgeving in de hele Europese Unie (GDPR EU). De nieuwe privacywetgeving ‘GDPR Nederland’ heeft als doel om de personen te beschermen die kunnen worden gelinkt aan privacygevoelige gegevens die organisaties bezitten. 25 mei 2018 lijkt ver weg, maar de maatregelen die moeten worden getroffen, hebben voor organisaties de nodige consequenties. Iedere organisatie die data vastlegt die conform de GDPR privacywetgeving moeten worden beschermd, moet actie ondernemen. De boetes (en daarmee gepaard gaande reputatieschade) zijn hoog.

Vanaf 25 mei 2018 zullen organisaties moeten kunnen aantonen dat ze voldoen aan de eisen van de GDPR privacywetgeving. Dit betekent tot dat moment veel (extra) werk en daarom kun je er niet vroeg genoeg mee beginnen. Ook mailings over GDPR en de expliciete toestemming die daarin (soms) wordt gevraagd, zijn onderdeel van de transparantie die bedrijven en organisaties na het van kracht worden van de GDPR moeten kunnen aantonen. Dit is echter maar een klein onderdeel van de voorbereidende maatregelen die moeten worden getroffen. In deze blog kijken we in grote lijnen naar de invulling van GDPR compliance binnen bedrijven en organisaties.

Wat zijn nou de belangrijkste punten om rekening mee te houden tijdens de voorbereiding op de GDPR?

Bewustwording! Bewustwording!

Op de hoogte zijn van de veranderingen die de wetgeving met zich meebrengt, is essentieel. Hieronder vallen meerdere zaken.

Allereerst is het belangrijk dat medewerkers op de hoogte zijn van de definitie van persoonsgegevens. Sta stil bij het feit dat je wellicht ook zogenaamde bijzondere persoonsgegevens verwerkt. In het laatste geval zijn er bepaalde extra onderdelen van de GDPR verplicht.

Ten tweede is de definitie van verwerking belangrijk. Simpel gezegd valt alles wat een bedrijf doet met persoonsgegevens van betrokkenen, te zien als verwerking. Het opslaan, wijzigen of verwijderen van persoonsgegevens zijn verwerkingen. De kans is dan ook nihil dat je in het digitale tijdperk zonder (digitale) verwerking van persoonsgegevens kunt bedrijfsvoeren.

Betrokkenen (mensen van wie je als bedrijf persoonsgegevens verwerkt) krijgen twee nieuwe privacyrechten en de huidige privacyrechten uit de Wbp (Wet bescherming persoonsgegevens) worden aangescherpt. Voor bedrijven en organisaties betekent dat dus dat deze rechten moeten worden gewaarborgd. Alleen al om de forse boetes te voorkomen, is dat verstandig.

De zes belangrijkste pijlers van de GDPR

De belangrijkste vernieuwingen rondom de GDPR zijn in deze zes pijlers op te delen:

  1. Transparantie
    Bedrijven moeten betrokkenen informeren over hoe je de persoonsgegevens verzamelt en verwerkt. Dit moet op een begrijpelijke manier worden gecommuniceerd.
  2. Verantwoording
    Er is meer nadruk op de verantwoordelijkheid van bedrijven om zelf aan te kunnen tonen dat zij zich aan de wet houden. Bedrijven hebben een documentatieplicht, een bewijsplicht en de verantwoordelijkheid om privacyrisico’s met betrekking tot persoonsgegevens terug te dringen.
  3. Consumentenrechten
    Het recht om de eigen gegevens in te zien, te corrigeren of te verwijderen.
    Het recht om eigen persoonsgegevens op te vragen in een toegankelijk bestandsformaat (bijv. Excel) en deze over te dragen aan andere bedrijven.
    Het recht om te worden vergeten: bedrijven moeten persoonsgegevens wissen als de persoon hierom vraagt. Dit dient per direct te gebeuren en uiterlijk binnen een maand. Let op: dit geldt ook voor data die inmiddels zijn gedeeld met derden.
  4. Meldplicht bij datalekken
    Bedrijven zijn verplicht om binnen 72 uur een datalek te melden, tenzij kan worden aangetoond dat het lek geen gevaar is voor de personen van wie de gegevens zijn verzameld.
  5. Privacy by design en privacy by default
    Bij privacy by design zorg je ervoor dat bij de ontwikkeling van nieuwe producten of diensten er standaard technisch en organisatorisch zorgvuldig met persoonsgegevens wordt omgegaan. Privacy by default betekent dat je maatregelen neemt om standaard alleen de noodzakelijke gegevens te verzamelen voor het doel waarvoor je ze verzamelt.
  6. Verwerkersovereenkomsten
    Ben je een verwerker of sub-verwerker van persoonsgegevens? Dan dien je een overeenkomst af te sluiten met desbetreffende partijen. Hierin kent de GDPR drie partijen: de verwerkingsverantwoordelijke, de verwerker en een mogelijke sub-verwerker. De verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. De partij die de verwerking realiseert, is de verwerker en een mogelijke derde partij die ingeschakeld is om een deel van de verwerking te doen in verband met een tijdelijk tekort aan personeel, wordt dan gezien als sub-verwerker. Tussen deze partijen dienen de overeenkomsten te worden gesloten met als doel de betrokkene te garanderen dat ook derden maatregelen hebben getroffen om diens persoonsgegevens te beschermen.

Hoe zit het met ‘oude’ gegevens van voor de invoering van de GDPR?

Voor jouw oude gegevens is de GDPR met terugwerkende kracht van toepassing op de persoonsgegevens die je tot nu toe hebt verzameld. Echter, je mag persoonsgegevens zonder toestemming verwerken als jouw belang zwaarder weegt dan het privacybelang van de persoon.

Het gaat hier om de juridische term ‘gerechtvaardigd belang’. Hierin weeg je de privacyschade van de persoon af tegen jouw marketingbelang. Het versturen van een nieuwsbrief naar een e-mailadres zorgt hierbij voor een beperkt risico met betrekking tot de privacy van de persoon. Jouw belang is hierdoor in veel gevallen zwaarder en dit zou kunnen betekenen dat een rechter jou waarschijnlijk (!) in het gelijk zal stellen.

Wil je geen enkel risico lopen op overtreding? Zorg dan dat je ook expliciete toestemming vraagt aan de oude contacten voor het doel waarvoor je ze wilt benaderen. Verder is het aan te raden een scheiding tussen klanten en overige relaties aan te maken. Klanten kunnen zich namelijk bij een koopovereenkomst proactief inschrijven voor mailings waarin je communiceert over voor hen relevante producten of diensten.

Dus in het kort
Concluderend wordt er van bedrijven en organisaties, hoe klein of groot ook, een redelijke verantwoordelijkheid verwacht. Dit dient van de werkvloer tot aan het management bekend te zijn. Hoe verder men in het proces van voorbereiding op de GDPR komt, hoe meer complexe zaken er aan het licht kunnen komen waar men graag de tijd voor neemt. Het is al vele malen geroepen in soortgelijke blogs en mailings: de tijd begint nu echt krap te worden. Zorg ervoor dat je GDPR compliant bent met ingang van 25 mei 2018 zodat je je wederom kunt concentreren op bedrijfsvoeren.

Wat kan TendenZ voor je betekenen?

Op het gebied van de nieuwe GDPR privacywetgeving in combinatie met Act! CRM?

  • Analyseren van de Act! CRM-omgeving, inclusief het meten van de gevolgen van het verwijderen van privacygevoelige persoonsgegevens.
  • Vertalen van de opgestelde procedure naar Act! CRM waardoor op een eenvoudige manier kan worden voldaan aan de nieuwe GDPR privacywetgeving.
  • Privacywetgeving: Zodra je inzichtelijk hebt welke gegevens er (direct) moeten worden verwijderd, kan TendenZ verschillende acties uitvoeren die ervoor zullen zorgen dat je Act! CRM-data GDPR compliant worden.
  • Verwijderen van historische of gearchiveerde data uit de Act! CRM-omgeving.

Op het gebied van algemene ICT binnen je organisatie met betrekking tot de nieuwe GDPR privacywetgeving?

  • Samen met jou kijken naar passende beveiligingsmaatregelen om inbreuk op persoonsgegevens te voorkomen. Denk hierbij aan bijvoorbeeld hacking, ransomware en dataverlie
  • Auditen van je ICT infrastructuur om de huidige staat van je beveiliging te bepalen ten opzichte van GDPR compliance.

Liever een GDPR kennissessie bij jou op locatie? Vraag een kennissessie aan met één van onze TendenZ adviseurs voor slechts € 195,-.

GDPR kennissessie aanvragen

15-03-2018

Laat uw reactie achter

var image = document.createElement("img"); image.src ='//connect.onlinesucces.nl/?cookie=0&i=5ccbbb61232107f5a7c340077672aeca5e301fe7&ts='+new Date().getTime()+'&f='+encodeURIComponent(document.location.href)+'&r='+encodeURIComponent(document.referrer)+'&t='+encodeURIComponent(document.title); var Tawk_API=Tawk_API||{}, Tawk_LoadStart=new Date(); (function(){ var s1=document.createElement("script"),s0=document.getElementsByTagName("script")[0]; s1.async=true; s1.src='https://embed.tawk.to/593a4b5f4374a471e7c522fe/default'; s1.charset='UTF-8'; s1.setAttribute('crossorigin','*'); s0.parentNode.insertBefore(s1,s0); })();