privacy·SMM

Wat moet u met de nieuwe Europese privacy regels?

Als ondernemer heeft u te maken met een heleboel regels over hoe u onderneemt: veiligheidseisen en boekhoudeisen zijn daar voorbeelden van. Een ander voorbeeld zijn eisen ten aanzien van privacy. De regels over privacy hebben betrekking op persoonsgegevens van uw klanten en – als u ze heeft – medewerkers. In mei 2018 komen er nieuwe regels, waar u als ondernemer rekening mee moet houden. Die regels staan in de nieuwe Algemene Verordening Gegevensbescherming (ofwel AVG, in het Engels GDPR genoemd). Daar heeft u ook mee te maken als u niets met social media doet. Dit blog gaat over de drie belangrijkste wijzigingen waar u als ondernemer mee te maken krijgt.

Maar eerst even de achtergrond, want privacy is er al een tijdje. Sterker, privacy is hot. Dat begon toen Edward Snowden onthulde wat de Amerikaanse veiligheidsdiensten allemaal aan gegevens over mensen bijhielden, al dan niet legaal. Daarnaast hebben we sinds begin 2016 wetgeving over datalekken en omstreeks om dezelfde tijd begon het debat over of er achterdeurtjes in encryptie moeten zitten zodat veiligheidsdiensten ons kunnen beschermen tegen terreuraanslagen. Verder stelt kunstmatige intelligentie ons in staat om steeds meer te doen met data en helpt het ons om automatische beslismodellen (algoritmes) te maken over welke personen welke berichten op social media te zien krijgen, welke prijs u betaalt voor een product of dienst en welke zoekresultaten voor u relevant zijn. Het ontwerpen van de nieuwe wetgeving van de nieuwe Europese verordening moet u in dat licht zien. Het doel van de nieuwe regels is dan ook om burgers de controle over hun persoonsgegevens terug te geven.

En dan nu de vraag: wat verandert er dan en wat is de impact daarvan op u?

Vereiste 1: vastleggen waar u data van klanten en medewerkers voor gebruikt en toestemming vragen voor gebruik.

U moet straks als ondernemer aantonen dat uw klant u toestemming heeft gegeven voor het verwerken van gegevens. Hetzelfde geldt overigens voor medewerkers. Die toestemming heeft u bijvoorbeeld nodig als u een e-mail nieuwsbrief verstuurt naar een vaste set klanten en als u bijhoudt welke klanten welke producten hebben gekocht (let op: als uw klanten bedrijven zijn dan valt het ook onder de nieuwe wetgeving, zie de link naar een artikel van Marketingfacts onderaan dit artikel). En dus moet u als ondernemer gaan vastleggen dat u die toestemming ook heeft. Behalve die toestemming zelf moet u ook bijhouden voor welke gegevens er toestemming is gegeven en of u die gegevens deelt met andere partijen (en of u daar toestemming voor heeft). Tot slot moet de klant dat ook van tevoren weten en begrijpen zodat hij een weloverwogen keus kan maken.

Oplossing 1: Een data register en een privacy statement

Een dataregister is een overzicht van welke gegevens u verwerkt, waarom u dat doet, met welke toestemming, etc. Dit overzicht kunt u in alle vormen bijhouden, zolang het maar te vinden is als u het nodig hebt voor bijvoorbeeld een verzoek van een klant of voor een datalek. Veel bedrijven zullen een dergelijk overzicht waarschijnlijk in Excel bijhouden en dat is dus ook prima. Daarnaast moet u een duidelijke en leesbare privacyverklaring hebben en intern privacy beleid. Voor voorbeelden van privacy statements die ik zelf goed vind, kunt u onderaan terecht bij de nuttige links. Nog even over het vragen van toestemming: soms moet u – bijvoorbeeld om een verkocht product te leveren – de NAW gegevens van klanten verzamelen. Daar heeft u geen aparte toestemming voor nodig als u de gegevens alleen daarvoor gebruikt.

Vereiste 2: Data kunnen vernietigen en exporteren

Als uw klant erom vraagt, moet u zijn of haar gegevens verwijderen (recht om vergeten te worden) of in een makkelijk bruikbaar formaat aan de klant kunnen meegeven voor gebruik op een andere site (recht op dataportabiliteit, het best vergelijkbaar met nummerportabiliteit bij telefoons). Beide rechten vereisen dat u die data dus ook moet kunnen vinden en vervolgens mee moet kunnen geven. Dat meegeven kan overigens in een format wat voor uw klant makkelijk te lezen en gebruiken is. Maar sommige gegevens mag u niet weggooien of pas na enige tijd weggooien. Een voorbeeld ervan zijn gegevens die betrekking hebben op belastingwetgeving (denk aan btw, Vennootschapsbelasting, etc.). Daarvoor geldt een uitzondering op de regel dat u de klantgegevens moet vernietigen als de klant dat vraagt.

Oplossing 2: De klant vertellen welke data u blijft bewaren en de keuze laten maken welke data hij meeneemt

Vertellen welke data u blijft bewaren kunt u op twee plaatsen doen. Mijn advies is om het sowieso in uw privacy statement te zetten. Daarnaast is het verstandig om dezelfde informatie – al dan niet in de vorm van een verwijzing naar uw privacy statement – in de brief of e-mail op te namen waarin u de klant bevestigt dat zijn gegevens zullen worden verwijderd. En als uw klant klaagt dat u niet voldoet aan privacywetgeving: dat klopt niet wat daar staat ook in dat u rekening moet houden met wettelijke bewaartermijnen. U moet er wel voor zorgen dat u echt alleen die gegevens bewaard en niet per ongeluk ook nog meer. Een dataregister is een prima oplossing om u te helpen bij de vraag welke gegevens u heeft per klant en waar die staan.

Voor dataportabiliteit is de enige eis is dat u de gegevens moet meegeven in een formaat dat voor de klant te lezen, controleren en gebruiken moet zijn zonder dat er moeilijke programma’s voor nodig zijn. Word, Excel en pdf-formaat zijn dus prima. En als u de klant dan vervolgens de keuze geeft in welk formaat hij de gegevens mee wil hebben, bijvoorbeeld door een standaard exportfunctionaliteit in een HR-systeem of op een website te gebruiken, dan wordt het ook nog klantvriendelijk. Maar dat hoeft niet persé.

Vereiste 3: Aantonen dat u aan alle vereisten voldoet

U moet straks aan kunnen tonen dat u aan de nieuwe wetgeving voldoet. Dat lijkt redelijk vanzelfsprekend maar er komt heel veel bij kijken. Zo moet u aan kunnen tonen dat u een compleet overzicht heeft van welke gegevens u verzamelt en gebruikt, welke toestemmingen u heeft, om welke reden u gegevens gebruikt en dat u al die gegevens afdoende heeft beveiligd. Deze verplichting geldt ook als u delen van uw bedrijfsvoering heeft uitbesteed, zoals bij hosting van een website door een ander bedrijf of als u uw social media door Your Social Media Buddy laat beheren of als u de producten uit uw webshop door PostNL laat bezorgen (want daarvoor zijn toch echt adresgegevens nodig). Doel van deze eis is dat u bij een eventueel data lek als gevolg van een hack kunt aantonen dat u er echt alles aan gedaan heeft om dat te voorkomen en dat u snel kunt reageren om zo de gegevens van uw klanten te beschermen.

Oplossing 3: Besteedt aandacht aan uw IT-beveiliging en denk aan het updaten van contracten met leveranciers

Een goede beveiliging van uw computers en software met een virusscan en firewall is belangrijk om te voorkomen dat iemand er met uw gegevens vandoor gaat. Dat geldt straks des te meer omdat zo’n diefstal straks een datalek is. Maar verder is het goed om ook uw medewerkers erop te wijzen dat ze attent moeten zijn op phishing mails. Die kunnen malware of ransomware bevatten. In dit kader is ook uw privacy beleid belangrijk want uw medewerkers moeten u straks inlichten over een datalek. Ook contracten met leveranciers zullen moeten worden aangepast aan de nieuwe wetgeving, zeker als het om IT-diensten gaat. Daar heeft de leverancier overigens net zoveel belang bij als u. Punten van aandacht zijn zaken als hoe de leverancier omgaat met gegevens die ze van u krijgen, afspraken over vernietigen en afspraken over het doen van een melding als de leverancier of u met een datalek te maken krijgt. De meeste advocatenkantoren zullen hier wel een standaard document voor hebben liggen, net als voor privacy beleid. En anders is er online genoeg te downloaden.

Conclusie

Al met al is het best veel werk om in 2018 aan de nieuwe privacyregels te voldoen. U heeft nog iets minder dan een jaar de tijd. Wel een waarschuwing: het voldoen aan alle eisen van de AVG is niet iets wat u op een vrijdagmiddag regelt. De zomer komt eraan en met de vakantie wordt het wat rustiger, dus gebruik die tijd om een overzicht te maken van wat u allemaal moet doen en een plan te maken voor het uitvoeren van alle werkzaamheden.

Tot slot, alle regels in de AVG hebben betrekking op persoonsgegevens, maar de meeste maatregelen die u moet treffen om eraan te voldoen kunt u breder inzetten. Zo is IT Beveiliging sowieso belangrijk, net als goede contracten. En dat dataregister kunt u natuurlijk ook voor meer dingen gebruiken dan alleen persoonsgegevens. Voor een volledig overzicht van alle verplichtingen uit de AVG verwijs ik u naar andere sites. Ik heb een selectie opgenomen van sites en links die u kunnen helpen.

Als uw gids in de wereld van social media help ik u graag met advies over hoe u op een pragmatische manier aan de nieuwe wetgeving kunt voldoen. En dat gaat verder dan het social media deel. Ik kan u helpen met het opzetten van een data register en met het updaten van contracten met leveranciers. En ik help u graag verder op weg als u zaken wilt gaan doen met bedrijven als Facebook want de gebruikersvoorwaarden daarvan kunnen ook van invloed zijn op hoe u geraakt wordt door de nieuwe Europese privacywetgeving. Meer weten, neem contact met me op voor een kop koffie.

Nuttige links

Het 10 stappen plan dat de Autoriteit Persoonsgegevens heeft ontwikkeld voor invoering van de AVG plus links naar de richtlijnen (guidelines) over de uitleg van onderwerpen in de AVG.

Een compact overzicht van wat de AVG allemaal inhoud en dat ook nog begrijpelijk is voor de normale mens.

Nog een artikel over wat Facebook allemaal van u weet en hoe u daar zelf achter kunt komen.

Een voorbeeld van een goede privacy statement van XS4all en Nationale-Nederlanden.

Een interessant opiniestuk over de impact van de AVG door big-data deskundige Ronald van Loon.

Een artikel van Bart van Buitenen op LinkedIn Pulse over data registers (inclusief links naar templates).

Een artikel over de verschillen tussen de AVG en de nieuwe e-privacy verordening die op dezelfde datum ingaat als de GDPR.

Een Engelstalig artikel over de behandeling van profiling (denk aan het opstellen van klantprofielen en het opzetten van automatische beslismodellen die daarop gebaseerd zijn) onder de AVG.

Een prima artikel van Marketingfacts over hoe de AVG werkt bij B2B situaties.

 

 

Advertenties

5 gedachten over “Wat moet u met de nieuwe Europese privacy regels?

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.