Ben jij klaar voor de nieuwe privacywet?

Foto van Taeke

Geschreven door Taeke Reijenga

Op 25 mei 2018 treedt de nieuwe Europese wet voor databescherming, de Algemene Verordening Gegevensbescherming (AVG), in werking. Met de introductie van de nieuwe wet komt de huidige Wet Bescherming Persoonsgegevens (Wbp), waar ook ‘de cookiewet’ onder valt, te vervallen en worden de privacy richtlijnen verder uitgebreid en verscherpt.

Wat de AVG concreet voor je onderneming betekent zal van geval tot geval verschillen, maar bedenk goed dat elke organisatie persoonsgegevens verwerkt, of dat nou gegevens van medewerkers of van (potentiële) klanten zijn. We hebben inmiddels al meerdere klanten aan de telefoon en op de koffie gehad die meer wilden weten over de wet en met name wat de wet betekent voor hun project. Wat betekent de nieuwe wet voor de gemiddelde website en waar kan je nu al voorbereidingen treffen? Met dit artikel proberen we je in de juiste richting te helpen.

De Algemene Verordening Gegevensbescherming (AVG)

De AVG, ook wel bekend onder de GDPR (General Data Protection Regulation) is op 25 mei 2016 aangekondigd om het bedrijfsleven twee jaar de tijd te geven zich voor te bereiden en er aan te gaan voldoen. Vanaf 25 mei 2018 zal de wet van toepassing zijn voor iedereen die persoonsgegevens in de EU verwerkt en dat heeft flinke gevolgen. Niet meedoen is geen optie, de wet zal actief worden gehandhaafd en boetes kunnen oplopen tot maar liefst 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Er zijn al een hoop artikelen verschenen over de wet en deze zijn stuk voor stuk de moeite van het lezen waard:

“En nu?” vraag je je misschien af. Waar moet je beginnen als je geen Privacy Officer hoeft aan te stellen en ook de Privacy Impact Assessment niet uitgevoerd hoeft te worden? Wellicht vraag je je af waar de nodige aanpassingen in je campagnes of website gemaakt moeten worden. Kom je er niet uit? Neem dan contact met ons op, we denken graag met je mee!

5 hands-on tips om je voor te bereiden op de AVG

Bedenk je goed dat er op zich niks mis is met het opslaan of verwerken van persoonsgegevens. En als je je de afgelopen jaren netjes aan de regels hebt gehouden valt de impact ook wel mee, de focus zal dan vooral op registratie en documentatie komen te liggen.

1. Inventariseer en registreer

Sta eens stil bij de primaire en secundaire processen binnen je bedrijf. Bij welke processen worden er persoonsgegevens verstuurd, ontvangen of bewaard? Maak je bijvoorbeeld gebruik van een email applicatie, een customer support systeem, CRM, een sales tool of een boekhoudpakket? Dan worden er zeker weten persoonsgegevens verstuurd en opgeslagen. Door een goede inventarisatie te maken van alle plekken waar met persoonsgegevens wordt gewerkt maak je de eerste stap naar het register van alle verwerkingsactiviteiten (het verwerkingsregister); één van de eisen van de nieuwe wet.

2. Schoon je e-mail-database(s) op

Is de afdeling marketing de laatste jaren lekker bezig geweest met allerlei leuke campagnes om maar meer leads en prospects te verzamelen maar is het onduidelijk waar gegevens vandaan zijn gekomen? Dan moet je echt aan de slag. Als je niet kunt bewijzen dat er toestemming is verleend om gegevens op te slaan of om contact op te nemen, dan mag je deze personen niet langer benaderen. Je kan twee dingen doen, bij de pakken neer gaan zitten of dit moment juist als kans aangrijpen. Met een reactivatie campagne vraag je simpelweg al je adressen om toestemming hun gegevens te bewaren en in de toekomst te mogen benaderen. Natuurlijk zegt niet iedereen daar ja op maar je weet van de overblijvers in ieder geval wel dat ze betrokken zijn bij je bedrijf.

3. Gebruik actieve opt-in

Gebruik geen vooraf aangevinkte checkboxes, opt-out of standaardinstellingen meer. Wees eerlijk over je intenties en laat mensen weten dat ze na het downloaden van dat ‘gratis’ whitepaper mogelijk nog meerdere keren per e-mail en telefoon worden benaderd. Zie dit als een uitdaging om creatiever om te gaan met het verzamelen van prospects en leads. In absolute aantallen zijn de resultaten van je marketing campagne na 25 mei 2018 misschien even slikken, maar ook hier geldt dat de bewuste keus om de gegevens achter te laten kan leiden tot meer betrokkenheid en een hoger conversiepercentage.

Na het inventariseren en registreren van mogelijk privacy gevoelige gegevens en het aanpassen van de manier waarop data wordt vergaard, is het tijd om de cookie- en privacy policy onder de loep te nemen. Naast dat je eerlijk en transparant moet zijn over de wijze waarop data wordt vergaard en opgeslagen én met welk doel, moet dat ook nog eens in heldere taal gebeuren. Hou er rekening mee dat de privacywet meer soorten informatie als privacygevoelig beschouwt. Gegevens die zijn gekoppeld aan IP-adressen, MAC-adressen, cookies en dergelijke vallen onder de wet, ook als de persoon achter de cookie (nog) niet bekend is.

De manier waarop organisaties omgaan met cookies, e-mail en telemarketing zal in 2018 ook moeten veranderen. Dit wordt echter niet geregeld in de AVG maar in de e-privacyverordening. De Europese Commissie heeft zich voorgenomen om de e-privacyverordening gelijk met de AVG op 25 mei 2018 in werking te laten treden, maar op dit moment moeten de Raad en het Europarlement zich nog over de regelgeving uitspreken. Het is maar de vraag of de deadline gehaald wordt, maar zeker is wel dat we ergens in 2018 geconfronteerd zullen worden met nieuwe regelgeving waarbij het onder andere verboden wordt nog langer gebruik te maken van de zogenaamde cookiewall.

5. Right to access & to be forgotten

Onder de nieuwe wet krijgt betrokkene (de persoon op wie de data betrekking heeft) meer rechten dan voorheen onder de Wbp. Zo heeft de betrokkene het recht op inzage, op bezwaar, om gegevens te laten wijzigen, om gegevens te laten verwijderen (right to be forgotten), om verwerking te pauzeren en om zijn of haar gegevens te ontvangen om deze over te kunnen dragen (dataportabiliteit). In potentie kan dit een enorme hoeveelheid werk met zich meebrengen, zeker als je je bedenkt dat je ook nog eens binnen 30 dagen aan zo’n verzoek moet voldoen. Maar dit is ook een kans om orde op zaken te stellen. Voor sommige bedrijven kan het goed zijn systemen te koppelen en middels een interface aan te bieden zodat een gebruiker zelf de controle krijgt. Voor andere bedrijven kan een verzoek per email, telefoon of post de voorkeur hebben. Aan de wijze waarop je aan het verzoek voldoet zijn geen eisen verbonden, als je maar binnen 30 dagen acteert en in heldere taal over dit proces communiceert.

Privacy by design & privacy by default

Privacy by design en privacy by default zijn twee principes uit de nieuwe wet die wij van harte toejuichen. Privacy by design betekent dat je gedurende het gehele ontwerp- en/of ontwikkeltraject de privacyaspecten meeneemt in de afwegingen. Privacy kan niet langer aan het einde van het project iets zijn waar we nog ‘even wat mee moeten’. In plaats daarvan wordt het een onderwerp dat vanaf de conceptfase tot aan de oplevering een rol speelt voor iedereen in het team.

Privacy by default betekent dat je bij het ontwerpen en ontwikkelen van websites en applicaties altijd uitgaat van de meest privacy vriendelijke instellingen. Privacy is de nieuwe standaard en het delen van je gegevens wordt optioneel. Wat ons betreft een heel logisch uitgangspunt want als je op die manier met toegankelijkheid, gebruiksvriendelijkheid en veiligheid omgaat, waarom zou je dan met het recht op privacy anders omgaan?

Vertel ons meer over je plannen en ambities!

We zijn klaar om jullie online uitdaging op te pakken.