Nieuwe privacyregels, hoe ga je daar als bedrijf mee om?

Let op: de nieuwe privacyregels komen eraan!

Zoals je waarschijnlijk al hebt gehoord is op 25 mei 2018 een nieuwe wet in werking getreden voor de bescherming van persoonsgegevens. Deze nieuwe wet is bekend onder de namen ‘Algemene Verordening Gegevensbescherming’ (AVG) en ‘General Data Protection Regulation’ (GDPR). Hieronder hebben we een paar van de belangrijkste zaken wat betreft de privacyregels op een rij gezet.

De nieuwe privacywet

De nieuwe wet geldt voor de gehele EU en vervangt de ‘EU Data Protection Directive’ uit 1995 én onze eigen Nederlandse privacywetgeving. De huidige wetten zijn verouderd en in de afgelopen 22 jaar is de hoeveelheid data die we opslaan en digitaal versturen enorm toegenomen.
Denk daarbij vooral ook aan:

E-maildiensten (o.a. Google Gmail)
Clouddiensten (o.a. Microsoft OneDrive / Office 365, Google G Suite / Google Drive en Apple ICloud)
Social Media (o.a. Facebook en Twitter)
Berichtendiensten (o.a. WhatsApp)

De nieuwe privacywet heeft echter niet alleen betrekking op digitale data, maar ook op data die op papier zijn opgeslagen en zich in jouw bedrijf of in een externe opslag bevinden (bijvoorbeeld een archief).

Autoriteit persoonsgegevens

In het recente verleden zijn er helaas regelmatig datalekken in het nieuws geweest. Door verlies of diefstal van laptops en USB-sticks en door inbraak op servers en de daaropvolgende diefstal van persoonsgegevens. Mede hierdoor worden de reeds bestaande regels flink aangescherpt. Er zal beter op worden gecontroleerd en zullen er hogere boetes uitgedeeld gaan worden bij overtreding. De controle en handhaving van de nieuwe privacywet wordt in Nederland uitgevoerd door de Autoriteit Persoonsgegevens. De Consumentenbond wijst particulieren al jarenlang op het gevaar van het (ongemerkt) weggeven van privacygevoelige persoonsgegevens op o.a. websites.

Versleutelde opslag gegevens

In het kort zorgt de nieuwe wet ervoor dat een eigenaar van persoonsgegevens (het zogenaamde ‘data subject’) meer rechten en bescherming krijgt. Een bedrijf of (overheids)instelling kan vanaf 25 mei 2018 alleen nog maar noodzakelijke persoonsgegevens vragen en gebruiken. De opslag van de ontvangen digitale of fysieke data moet daarnaast goed beveiligd zijn. Dit betekent o.a. dat de data binnen een bedrijf versleuteld opgeslagen moet worden. Met adequate logins moet worden beschermd en niet voor iedere medewerker toegankelijk mag zijn.

Wat zijn persoonsgegevens

Voorbeelden van persoonsgegevens zijn: naam, adres, e-mailadres, IP-adres en cookies (alleen als de cookie een gebruiker uniek identificeerbaar maakt). Daarnaast zijn er ook bijzonder privacygevoelige persoonsgegevens zoals burgerservicenummer, ras, gezondheid, godsdienst, strafrechtelijk verleden en politieke overtuiging.

Toestemming van de eigenaar van de persoonsgegevens

De nieuwe privacywet verplicht bedrijven of (overheids)instellingen om expliciet toestemming aan de eigenaar van de persoonsgegevens te vragen voor de opslag en het gebruik van die persoonsgegevens. Belangrijk is om te evalueren of dit nu al correct gebeurt en het proces waar nodig aan te passen. Hiernaast moet een bedrijf of (overheids)instelling op verzoek aan kunnen tonen dat er toestemming is verkregen voor de verwerking van de persoonsgegevens. De eigenaar van de persoonsgegevens kan verzoeken om die toestemming voor hem in te trekken en/of om de data te verwijderen. Dit heet het ‘recht om vergeten te worden’. Ook kan de eigenaar van de persoonsgegevens vragen om een export van de bewaarde persoonsgegevens naar hem op te sturen. Dit heet het ‘recht op dataportabiliteit’.

Privacy by Design & Privacy by default

Het is belangrijk te weten dat de nieuwe privacywet twee verplichte uitgangspunten heeft, te weten: ‘privacy by design’ en ‘privacy by default’.

Privacy by design houdt in dat er al bij het ontwerp van producten en diensten voor gezorgd moet worden dat persoonsgegevens goed worden beveiligd.
Privacy by default houdt in dat er technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat er standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. En dat die gegevens niet langer worden bewaard dan nodig. Dit betekent in de praktijk o.a. dat op een website checkboxes niet vooraf aangevinkt zijn en dat er geen onnodige gegevens worden gevraagd voor de inschrijving op een digitale nieuwsbrief.

Welk effect hebben de regels op jouw bedrijf?

Het is belangrijk om uit te (laten) zoeken welk effect de nieuwe privacyregels op jouw eigen bedrijf hebben. Dit geldt ook voor de (klanten)data die je zelf opslaat en gebruikt. Idealiter ben je daar reeds mee bezig gezien de complexiteit en het grote belang. Je wilt immers geen hoge boete ontvangen omdat jouw bedrijf op 25 mei 2018 nog niet aan de nieuwe privacywet voldoet. Ook InfoTrade is hier druk mee bezig. In dat kader hebben wij onder andere deelgenomen aan een ‘Cloud and GDPR’ event bij Google om ons volledig te informeren.

Vertrouwen van jouw klant

Een extra reden om aan de nieuwe privacywet te voldoen en daar duidelijk melding van te maken is dat dit extra vertrouwen oplevert bij (potentiële) klanten. Vermeld dit dus in jouw communicatie en op jouw website (vooral bij elk formulier). Een artikel op Marketingfacts.nl stelt zelfs dat de nieuwe privacywet relevantere, kwalitatievere nieuwsbriefabonnees op kan leveren.

Privacy Impact Assesment

Als je de privacyrisico’s van een project (bijvoorbeeld de ontwikkeling van een nieuwe app) in een vroeg stadium uit wilt zoeken kun je een zogenaamd ‘Privacy Impact Assessment’ (PIA) laten uitvoeren. Op die manier weet je vooraf of het project zal voldoen aan de nieuwe privacywet en voorkom je kosten om achteraf aanpassingen te laten maken.

Het is wellicht verstandig dat je een ‘Functionaris voor de Gegevensbescherming’ (FG, ook wel ‘data privacy officer’) in jouw bedrijf aanstelt die het onderzoek vooraf leidt. Die toeziet op de implementatie en naleving van nieuwe werkwijzen. Ook dienen er regelmatig controles uitgevoerd te worden. Plus een plan wat er moet gebeuren als er onverhoopt toch data zijn gelekt (ook i.v.m. de meldplicht hiervoor).

Google voldoet aan de eisen van de privacywet

Voor InfoTrade en haar klanten is vooral Google een belangrijke partner waar data worden opgeslagen en gebruikt (o.a. Google G Suite, Google Ads en Analytics). Natuurlijk heeft Google aangegeven dat ze alles in het werk stelt om met haar services volledig te voldoen aan de vereisten van de nieuwe privacywet. Daarnaast mag ook Google niets met data doen waar de eigenaar van die data geen toestemming voor heeft gegeven. Dat jouw bedrijfsdata veilig bij Google zijn opgeslagen is echter nog niet genoeg om aan de privacywet te voldoen. Ook jouw eigen bedrijf en jouw werkwijzen moeten voldoen aan de eisen. Gebruik maken van de services van Google scheelt i.i.g. al enorm.

InfoTrade zal voorafgaand aan 25 mei 2018 op de website duidelijk maken hoe wijzelf aan de nieuwe privacywet voldoen en hoe we zelf (klanten)data opslaan.

Update juni 2018:
Onze privacy- en cookieverklaring
Checklist website AVG/GDPR proof maken

Zie voor meer meer informatie o.a.:
https://autoriteitpersoonsgegevens.nl/
https://www.google.com/cloud/security/gdpr/
https://www.microsoft.com/en-us/TrustCenter/Privacy/gdpr/default.aspx
https://www.marketingfacts.nl/berichten/wat-betekent-gdpr-voor-consumenten
https://www.marketingfacts.nl/berichten/die-nieuwe-privacywet-mag-je-gewoon-negeren

Algemene Verordening Gegevensbescherming (AVG)