Op 25 mei gaat de GDPR in. Dat is sneller dan je General Data Protection Regulation kunt zeggen. De Europese privacywet bepaalt hoe jij als organisatie met gegevens van je klanten moet omgaan. Hoe zit de nieuwe wet in elkaar? Wat mag je beslist niet over het hoofd zien?
De nieuwe wet geeft in hoofdlijnen antwoord op vier vragen over privacy.
1. Wanneer mag je persoonsgegevens verwerken?
Eerst even vaststellen wat persoonsgegevens eigenlijk zijn. Volgens de GDPR zijn dat alle gegevens van een persoon (niet alleen naam, telefoonnummer en e-mail-adres, maar ook aankoopgegevens, bezoekgedrag, interesses etc.). Met verwerken wordt bedoeld: alle manieren waarop je die gegevens gebruikt (van simpelweg opslaan, tot delen, tot het opbouwen van klantprofielen).
Persoonsgegevens verwerken mag na 25 mei nog steeds. Wat er verandert, is dat je precies moet uitleggen welke informatie je verzamelt, wat je ermee doet en waarom. En je moet die uitleg makkelijk vindbaar maken (dus niet wegmoffelen in je algemene voorwaarden).
Ten slotte moet je in veel gevallen toestemming van klanten hebben voor het gebruik van die gegevens. Je zult ze dus moeten verleiden tot een opt-in.
2. Welke rechten hebben je klanten?
Een belangrijke basisgedachte van de GDPR is dat mensen weer volledige zeggenschap hebben over hun eigen gegevens. In het vorige punt zag je het al: je klanten hebben in elk geval het recht om precies te weten wat je met hun data doet. Én ze hebben het recht om dat te weigeren.
Maar ook wanneer ze wel toestemming geven voor gebruik van hun gegevens, houden ze meer grip op hun data dan voorheen. Ze mogen jou vragen om:
- hun gegevens in te zien
- hun gegevens te wijzigen
- hun gegevens te wissen (het recht om vergeten te worden)
- hun gegevens over te dragen aan een andere partij (het recht op dataportabiliteit)
- hun eerdere toestemming weer ongedaan te maken de verwerking te stoppen, zelfs als jij vindt dat er een gerechtvaardigd belang voor is
"Door het recht op dataportabiliteit mogen klanten vragen hun gegevens door te sturen naar een andere partij, bijvoorbeeld een concurrent."
3. Hoe moet je privacybeleid eruitzien?
De GDPR vraagt organisaties om zorgvuldig om te gaan met persoonsgegevens en dit ook in te bedden in beleid. Dit gebeurt op meerdere niveaus.
- Bij het ontwerpen van je diensten en producten, moet je opletten dat je niet meer gegevens verzamelt en bewaart dan nodig (dit heet privacy by design). Je moet dat principe vervolgens ook technisch bewaken (privacy by default), bijvoorbeeld door op je website het vakje ‘ik wil de nieuwsbrief ontvangen’ niet al standaard aan te vinken.
- Sommige organisaties zijn verplicht een functionaris gegevensbecherming (of Data Protection Officer) aan te stellen. Het gaat vooral om overheden, publieke organisaties en bedrijven die op grote schaal (gevoelige) gegevens verwerken.
- Ten slotte kan het verplicht zijn om een impact assessment uit te voeren. Dat is een instrument om vooraf privacyrisico’s in kaart te brengen. Ook hier speelt de schaal waarop je persoonsgegevens verwerkt en de aard van die gegevens (zit er gevoelige informatie bij?) een rol.
4. Hoe ziet dat er achter de schermen uit?
Om straks aan de GDPR te voldoen, moet je je tooling en administratie op orde brengen, zodat je al je gegevensverwerking kunt verantwoorden. Dat doe je door:
- een verwerkingsregister bij te houden waarin onder andere staat welke gegevens je verwerkt, van welke doelgroep(en) en met welk doel.
- een gegevensbeschermingsbeleid op te stellen waarin je je procedures rond persoonsgegevens vastlegt.
- persoonsgegevens aantoonbaar goed te beveiligen.
Wat als je op 25 mei niet GDPR-proof bent?
De nieuwe wet is officieel al ingegaan, maar pas vanaf 25 mei gaat de Autoriteit Persoonsgegevens actief controleren. Voldoe je nog niet aan de wet, dan riskeer je een forse boete: tot 20 miljoen euro of (voor bedrijven met een omzet van meer dan een half miljard) maximaal 4% van de jaaromzet per overtreding.