Nieuwe pricacy-wetgeving (AVG – GDPR) en mijn voorbereiding

Bedrijven krijgen een grotere verantwoordelijkheid in het beheren van hun gegevens. Dit wordt geregeld in de Algemene Verordening Gegevensbescherming (AVG). Vanaf 25 mei 2018 kan de Autoriteit Persoonsgegevens boetes opleggen voor het overtreden van de AVG wetgeving.  Wat betekent de AVG eigenlijk voor jou als ondernemer concreet? Hieronder speciaal voor jou een stoomcursus AVG:

In één regel samengevat houdt het in dat het duidelijk moet zijn hoe je omgaat met persoonsgegevens en dat je je daarbij houdt aan de regels zoals die in de nieuwe wet zijn omschreven. 

  • Wat houdt de AVG precies in?
  • Over welke gegevens hebben we het?
  • Wat moet ik doen?

1. Wat houdt de AVG precies in?

De wet (in het Engels spreekt men van de GDPR, de General Data Protection Regulation) geldt voor alle organisaties binnen Europa die gegevens verwerken en overtreding van de regels kan leiden tot hoge boetes. De wet zegt dat verwerking van persoonsgegevens alleen is toegestaan als het voldoet aan minimaal één van een aantal zogenaamde ‘verwerkingsgrondslagen’ waarvan ik er hier drie noem die het meest van toepassing zijn:

  • Er is aantoonbaar en ondubbelzinnige toestemming gegeven. Denk aan een nieuwsbrief of formulier waarmee mensen zich inschrijven. Als dat via een opt-in email is gebeurd is ondubbelzinnig en aantoonbaar toestemming gegeven.
  • De gegevens zijn noodzakelijk voor uitvoering overeenkomst. Denk aan de aankoop van een product. Hierbij mag je de adresgegevens bewaren omdat die nodig zijn voor de levering van het product.
  • De gegevens zijn noodzakelijk in verband met wettelijke verplichting. Denk hierbij aan de gegevens die op een factuur staan die je aan een klant hebt gestuurd. De factuur en die gegevens moeten bewaard blijven gedurende een wettelijk vastgestelde bewaartermijn.

Daarnaast stelt de nieuwe wetgeving dat jij als ‘gegevensverwerker’ je moet houden aan een aantal spelregels:

  • Rechtmatigheid, behoorlijkheid en transparantie: het moet controleerbaar zijn hoe de gegevens worden verwerkt
  • Gegevens mogen alleen worden verwerkt voor een vooraf vastgesteld doel
  • Dataminimalisatie : er mogen niet meer gegevens worden verwerkt dan strikt noodzakelijk is
  • Juistheid / actualiteit: betrokkenen bepalen zelf hoe zij geregistreerd willen staan
  • Opslagbeperking: gegevens mogen niet langer dan nodig worden opgeslagen
  • Integriteit en vertrouwelijkheid (beveiligingsplicht): risico’s op oneigenlijk gebruik moeten zijn geminimaliseerd

2. Over welke gegevens hebben we het?

Het betreft in principe alle gegevens die gerelateerd kunnen worden aan een persoon. Dus naam, geslacht, emailadressen, adresgegevens, vrije velden. Deze ‘normale’ gegevens worden in Autorespond vastgelegd en wellicht heb je deze gegevens deels ook in eigen Excelsheets of andere bestanden staan.

Daarnaast onderkent de wet ook ‘bijzondere persoonsgegevens’. Dit zijn gegevens over iemands ras, geaardheid, politieke voorkeur, gezondheid, strafrechtelijk verleden (maar ook het burgerservicenummer!). Deze gegevens mogen niet zomaar worden bewaard door een organisatie.

Alle gegevens die je bijhoudt, moeten door de betreffende relatie kunnen worden opgevraagd (inzage) en op verzoek kunnen worden gecorrigeerd of verwijderd.

De gegevens moeten daarnaast goed worden beschermd. Het moet duidelijk vastgelegd zijn hoe je dit hebt gedaan en er moet een draaiboek liggen indien er sprake mocht zijn van een ‘gegevenslek’. Denk hierbij aan een verloren USB stick of een gestolen of gehackte laptop. De eerste actie is het melden van dit lek bij de autoriteit persoonsgegevens. Het niet melden van een datalek kan boetes opleveren.

3. Wat moet ik doen?

Wat te doen? Een eerste goede stap is om voor jezelf een overzicht te maken van alle gegevens die je verzamelt over klanten en prospects:

  • over welke gegevens gaat het precies? (welke ‘velden’)
  • hoe kom je aan die gegevens? (Bijvoorbeeld via formulieren op je website, via netwerk-gesprekken, etc)
  • waar zijn deze gegevens nu opgeslagen? (Denk aan Autorespond, spreadsheets op je laptop of in de cloud, en vergeet de gegevens in bijv. MS Outlook niet!)
  • kun je aantonen hoe je aan die gegevens bent gekomen en of de betreffende relatie daar toestemming voor heeft gegeven?

Ook ik ben bezig met voorbereidingen:

Ik ben volop bezig met aanpassingen in aanloop naar 25 mei 2018 en stel alles in het werk om in regel te zullen zijn.  Relaties/klanten die bij mij hun gegevens hebben achtergelaten zullen hun gegevens kunnen inzien en wijzigen.  Deze optie is beschikbaar via de ‘selfservice’ link in de uitgestuurde emails.  Gegevens achterlaten op deze website voor het downloaden van informatie werd reeds telkens via dubbel-optin methode (dubbele emailbevestiging) geregeld en er zullen data-verwerkersovereenkomsten vastgelegd worden met de nodige partijen. De website zal verder worden aangevuld met de nodige informatie en de manier van dataverwerking wordt verder in kaart gebracht.

Een paar tips: 

Bekijk alvast je GDPR policy (hoe ga je om met informatie binnen je bedrijf?), stel een draaiboek samen, doe een update van je privacy policy en alg. voorwaarden op je website en loop de invulformulieren op je website erop na.  Wacht niet langer om eraan te beginnen!

Het volledige stappenplan van de Belgische Privacycommissie kan je hier downloaden. 

 

 

Deel dit artikel
Share on Facebook
Facebook
0Share on LinkedIn
Linkedin

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *