AVG/GDPR: Leesvoer!

Per 25 Mei 2018 trad er een nieuwe Europese Wet in werking: “Algemene Verordening Gegevensbescherming” (AVG), oftewel “European Union’s General Data Protection Regulation” (GDPR).

Omdat het bij ons vragen opriep, en we vragen krijgen van onze klanten, even een korte introductie met lekker veel links om door te klikken.

Waar gaat het allemaal over?

De huidige wetgeving stamt uit de 1995 en werd sinds 2000 aangevuld met de Wet bescherming persoonsgegevens (Wbp). Tijd dus voor een update.

De Nederlandse Rijksoverheid vat het als volgt samen, vanuit perspectief van de consument (1);

Veilig online en e-privacy

De Rijksoverheid wil dat iedereen veilig kan internetten. En dat bedrijven en organisaties persoonsgegevens goed beschermen. Daarom zijn wereldwijd afspraken nodig voor het gebruik van online diensten.

Voorwaarden beschermen digitale persoonsgegevens
Om persoonsgegevens te beschermen moeten internetdiensten voldoen aan bepaalde voorwaarden:

  • Consumenten hebben en houden de controle over het gebruik van hun persoonsgegevens.
  • Consumenten krijgen alle informatie over de verwerking van hun gegevens.
  • Bedrijven moeten vanaf de start van hun diensten persoonsgegevens goed beveiligen.

Digitale privacy beschermen
In 2013 gaf het Kabinet haar visie op digitale privacy in de Kabinetsvisie op e-privacy. Bedrijven gebruiken steeds vaker profiling. Dat is het gericht online benaderen van doelgroepen. De Wet bescherming persoonsgegevens regelt het veilig en zorgvuldig gebruik van persoonsgegevens. Maar omdat internet over grenzen heen gaat, zijn internationale afspraken nodig.

Europese afspraken over gebruik persoonsgegevens
De Dataprotectie verordening van 5 mei 2016 moet binnen 2 jaar ingevoerd zijn. Dit verbetert de rechten van de eindgebruiker. En het beschermt de eindgebruiker door de volgende maatregelen:

  • Consumenten ‘mogen vergeten worden’. Dat betekent dat zij bepaalde gegevens van een website kunnen laten verwijderen.
  • Consumenten hebben het recht op een kopie van hun opgeslagen gegevens.
  • Consumenten mogen hun toestemming weigeren voor profiling, het gericht verzamelen van online gegevens.
  • Consumenten moeten begrijpelijke en toegankelijke informatie krijgen over de verwerking van hun persoonsgegevens.

Klinkt allemaal super-redelijk en als particulier zijn wijzelf hier zelf ook blij mee.

Maar wat betekent het voor mijn organisatie?

In het kort: waar het voorheen afdoende was om persoonsgegevens goed te beveiligen, moet je nu

  • Duidelijk laten zien wat je beleid is, en niet in mumbo-jumbo-legal taal maar leesbaar en begrijpelijk.
  • Expliciet permissie vragen om persoonsgegevens te verwerken, deze alleen gebruiken voor die doeleinden, bijhouden en niet langer opslaan dan nodig.
  • Verwerkt u veel data en/of profileert uw bedrijf mensen, dan moet u wellicht een data protection impact assessment (DPIA) laten uitvoeren
  • Het (nog steeds) melden als er een data-lek is geweest.
  • Aanscherping cookie melding (we gaan over naar Europese regels!)

Meest gebruikte termen

U bent wellicht zelf een beheerder en/of werkt u samen met een verwerker van (gevoelige) persoonsgegevens (2)

Beheerder
Een gegevensbeheerder bepaalt alleen of samen met anderen, de doeleinden en middelen van de verwerking van persoonsgegevens. Deze beheerders dragen de primaire verantwoordelijkheid voor naleving van de regels.
Grote kans dat u dat bent.

Verwerker
Een verwerker is elke entiteit die persoonsgegevens verwerkt volgens de instructies van de gegevensbeheerder. Vaak moet je dan een bewerkersovereenkomst af sluiten.

Bewerkersovereenkomst
Als u voor een klant persoonsgegevens opslaat en verwerkt, moet er altijd een overeenkomst tussen u en de klant worden gesloten waarin de afspraken en verplichtingen over een weer worden vastgelegd.

​​​​In deze zogeheten bewerkersovereenkomst wordt afgesproken

  • voor welke doelen u de gegevens gaat verwerken,
  • met welke middelen u de gegevens gaat verwerken,
  • aan wie u de gegevens mag afstaan,
  • welke beveiligingsmaatregelen u heeft genomen (of gaat nemen) om de opgeslagen gegevens te beveiligen,
  • hoe aan de controle- en correctierechten van de betrokkene wordt voldaan,
  • dat de klant u vrijwaart van aanspraken van derden met betrekking tot de persoonsgegevens.

Persoonsgegevens:
Bv. Naam, Adres, E-mail, Foto, IP adres, Locatie data, Online gedrag (cookies), Profiling en analytics data.

Gevoelige persoonsgegevens:
Bv. Afkomst, Religie, Politieke overtuiging, Lidmaatschap van vakbonden, Sexuele voorkeur, Gezondheids-informatie, Biometrische data, Genetische data.
Blijf hiervan weg als het kan.

Meer weten?

De EU heeft een sectie in hun site (3) ingericht op dit thema, waar je meer kan lezen. Een paar dingen die mij opvielen. Maar overal hangen wel weer een paar mitsen en maaren aan ;)

Vooral zelf even lezen dus:

Zijn de regels van toepassing op mkb-bedrijven?
Ja, De toepassing van de verordening gegevensbescherming is niet afhankelijk van de grootte van uw onderneming, maar van de aard van de activiteiten ervan. Maar bedrijven met minder dan 250 werknemers hoeven bijvoorbeeld geen registers bij te houden van hun verwerkings-activiteiten. Ook hoeven ze geen functionaris voor gegevensbescherming aan te stellen als verwerking niet hun hoofdactiviteit vormt. Meer informatie

Zijn de regels inzake gegevensbescherming van toepassing op gegevens over een onderneming?
Neen, de regels zijn enkel van toepassing op persoonsgegevens over personen, ze regelen niet de gegevens over ondernemingen of andere rechtspersonen. Echter er zijn plekken waar het vaag wordt qua bv contactgegevens van een persoon. Meer informatie

Wat gaan jullie/we doen?

Maak eens een lijst van waar deze data (of delen van) zich kan bevinden: online, op uw systeem, maar ook back-ups. Wellicht uw (oude) data van (oude) gebruikers eens opschonen? Data uberhaupt nog nodig, en dat bron bestand ook? Is het wel nodig om dat Excel-sheet terug te kunnen leiden naar de persoon erachter? Anonimiseren is natuurlijk een goede optie.

Wij kunnen een Bewerkersovereenkomst met u opstellen als uw site persoonlijke gegevens verwerkt (formulieren bevat en/of bv een inlog mogelijkheid heeft). We moeten dan vastleggen waarvoor wij die gegevens mogen inzien/gebruiken. 

Als wij voor u ook wel eens uw Google Analytics data analyseren of voor u Mailchimp mailings segmenteren, moeten we dat ook vastleggen. 

Het zou goed kunnen dat u uw privacy-verklaring iets moet (laten) aanpassen. En dit aan uw gebruikers laten weten.

Bij het gebruik van formulieren, denk nog eens goed na over wat u vraagt en of datzelfde doel met minder gegevens bereikt kan worden:

  • Is die geboortedatum wel nodig of kan je af met een jaartal of wellicht is een indeling per 5 jaar afdoende om te segmenteren.
  • Ga je iemand post sturen? Nee? Dan heb je ook geen adres nodig.
  • Verwijs duidelijk naar de plek waar je privacy overeenkomst staat, en zorg dat het duidelijk is met wie men in contact kan treden hierover. (ook nieuwsbrief inschrijving)

En oja: Cookie-meldingen. We gaan over naar Europese wetgeving, die is wat stricter. Hieronder vindt u daartoe links met informatie.

label
Hmm, Lidl... Volgens mij kan je gewoon af met 'bent u 18 jaar of ouder'