Deze cryptische titel heeft betrekking op de Europese Wet Algemene verordening gegevensbescherming (AVG) die op 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp) zal gaan vervangen.
Alhoewel de huidige privacywet al eisen stelt aan het verwerken en beschermen van persoonlijke data door bedrijven, zal de nieuwe wet bedrijven nog stringenter aansporen om data zorgvuldig te gaan verwerken omdat er stevige financiële sancties op volgen als je dit verzaakt.
Met een zakelijke website verzamel je bijna altijd persoonlijke data van je klanten. Denk hierbij aan een contactformulier, inschrijfformulier, inschrijving nieuwsbrief, een webshop of elke andere vorm van registratie van klantgegevens online.
Vandaar dat ik je in dit artikel wil bewust maken van de implicaties van de nieuwe wet en de acties die je kunt nemen.
Wat verandert er met deze nieuwe wet?
Voor particulieren
Als particulier heb je straks meer mogelijkheden om je eigen data te beheren. Zo kun je bij een bedrijf het verzoek indienen om je persoonlijke data te laten verwijderen. Dit heet het zogenaamde recht op vergetelheid. Verder heb je recht op dataportabiliteit. Dat betekent dat je gegevens eenvoudig kunnen worden overgedragen naar een andere dienstverlener. Tot slot moet elk bedrijf de toestemming om je persoonlijke data te mogen gebruiken expliciet kunnen aantonen. En jouw toestemming hiervoor moet eenvoudig weer ingetrokken kunnen worden.
Je hebt de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoongegevens mocht een bedrijf zich niet aan de AVG houden.
Voor bedrijven
Multinationals, mkb’ers, zzp’ers, ze vallen allemaal onder de nieuwe privacy regels. Op de website van de Auroriteit Persoonsgegevens (AP) vind je een 10 stappen overzicht hoe je je als bedrijf kunt voorbereiden op de AVG. Dit is ook beschikbaar als PDF download.
Om niet te verzanden in een langdradig verhaal over de inhoud van deze wet, wil ik me richten op de praktische implementatie ervan in je business.
Wil je aan de nieuw wet voldoen dan zul je de volgende criteria in acht moeten nemen:
- je hebt je personeel geïnformeerd over de nieuwe privacyregels
- elke klant kan zijn/haar gegevens corrigeren of verwijderen
- je maakt gebruik van een register van verwerkingsactiviteiten
- je kunt verplicht zijn om een data protection impact assessment uit te voeren
- je houdt bij het ontwerpen van nieuwe producten of diensten rekening met de privacy van de klant
- je kunt verplicht zijn om een functionaris voor gegevensverwerking aan te stellen
- je documenteert elk datalek zodat de AP het kan controleren
- je kunt expliciet aantonen dat je klant toestemming heeft gegeven voor het verzamelen van zijn/haar persoonlijke gegevens
Wat betekent dit voor het verzamelen en verwerken van persoonlijke data op je website?
Elke klant waarvan je persoonlijke gegevens gaat verzamelen, zul je expliciet toestemming moeten vragen. Dat betekent niet dat je je klanten gaat bellen of mailen om te vragen of ze akkoord gaan!
Hoe dan wel?
Tijdens het registratieproces op je website dien je er voor te zorgen dat de klant een verplichte optie moet aanvinken met een vermelding dat hij/zij akkoord gaat met het verwerken van persoonlijke gegevens. Daarbij plaats je tevens een link naar je privacyverklaring zodat je klant op de hoogte is waarvoor de gegevens worden gebruikt binnen je bedrijf.
Deze toestemmingen moet je vastleggen zodat je indien nodig aan de AP kunt laten zien dat je binnen de bepalingen van de wet hebt gehandeld. Als de klant zijn toestemming wil intrekken, dan stelt de wet dat dit eenvoudig kan.
Verzamel je bijzondere persoonsgegevens (godsdienst, ras, politieke voorkeur, gezondheid etc.) en heeft je bedrijf minder dan 250 medewerkers dan ben je verplicht om een register van verwerkingsactiviteiten op te stellen.
Hoe bereid je je voor op deze veranderingen?
De eerste stap is om je in te lezen in de AVG. Onderaan staan verschillende links naar informatieve websites betreffende de AVG. Bij twijfel is het verstandiger om juridisch advies in te winnen.
Ten tweede inventariseer of je website aanpassingen nodig heeft om te voldoen aan de nieuwe regels. Dit kan je ook uitbesteden aan je webmaster.
Bewustwording
De AVG is op 25 mei 2016 ingevoerd. We hebben nog een half jaar totdat de wet wordt toegepast in Nederland.
In het nieuws hoor en lees je dat een groot percentage van het bedrijfsleven onvoldoende of helemaal niet op de hoogte is van de nieuwe wetgeving. Daarom is dit artikel bedoeld om je wakker te schudden en bewust te maken dat de verantwoordelijkheid bij jou ligt om dit tijdig te implementeren in je bedrijfsvoering.
Voor de technische implementatie zal ik klanten graag van dienst zijn.
Heb je juridische vragen dan adviseer ik je om contact op te nemen met een jurist of advocaat.
Informatieve links
