Op 25 mei 2018 treedt de nieuwe privacywet in werking: de General Data Protection Regulation, in Nederland beter bekend als Algemene Verordening Gegevensbescherming. Deze nieuwe wet verscherpt de regels over de verwerking van persoonsgegevens en voegt een aantal nieuwe verplichtingen toe. Maar wat betekent dit concreet voor jouw organisatie? En is jouw organisatie klaar voor deze nieuwe wetgeving? In dit artikel bespreken we de inhoud van de nieuwe wet en geven we je een concreet stappenplan voor de implementatie binnen jouw organisatie.
Waarom een nieuwe wet?
Sinds 1995 beschermt de Wet Bescherming Persoonsgegevens (WBP) ons tegen misbruik van persoonsgegevens. De wereld is in de afgelopen jaren echter gedigitaliseerd en de wet uit 1995 is inmiddels achterhaald. Om aan te blijven sluiten op de huidige ontwikkelingen die wereldwijd plaats vinden introduceert de Europese Unie daarom de General Data Protection Regulation (GDPR). In Nederland heet deze wet de "Algemene Verordening Persoonsgegevens" (AVG).
Wat houdt de Algemene Verordening Gegevensbescherming in?
Dit artikel is te kort om de volledige wetteksten weer te geven. Samengevat betekent het dat organisaties meer specifieke toestemming van bezoekers/klanten nodig hebben om met de persoonlijke data te mogen werken. Onder persoonlijke data verstaan we o.a.: de naam van een persoon, een foto, het BSN-nummer, een emailadres, telefoonnummers en meer. Organisaties hebben tot 25 mei 2018 de tijd om de AVG wet te implementeren.
Transparantie, versterking en uitbreiding van de privacy rechten
Als organisatie moet je consumenten vanaf 25 mei 2018 dus duidelijker informeren over wat er met zijn of haar persoonlijke data gebeurd en wie toegang heeft tot deze data. De consument mag in de nieuwe wet te allen tijde bezwaar maken tegen de verwerking of het gebruik van zijn of haar persoonlijke data. Na een bezwaar mogen de gegevens niet meer gebruikt worden door de organisatie.
Hoe kan je voorbereiden op de AVG?
Het is duidelijk dat de nieuwe wet nogal impact heeft. Maar hoe bereid je je als organisatie voor op de invoer van deze nieuwe wet? Wij zetten een aantal tips voor jou op een rijtje.
1. Bepaal de raakvlakken
Zorg ervoor dat de relevante mensen in je organisatie op de hoogte zijn van de nieuwe privacyregels. Schat ook in wat de impact van de AVG is op je huidige processen, diensten en goederen. Bepaal tevens de raakvlakken op het gebied van je online marketingkanalen en dataverwerkersovereenkomsten.
2. Maak een overzicht van de dataverwerking
Breng je gegevensverwerkingen en datastromen in kaart. Waar vraagt jouw organisatie toestemming aan betrokkenen voor de verwerking van persoonsgegevens? En waar ligt de ruimte om nog meer toestemming te vragen? Controleer vervolgens hoe de toestemming wordt vastgelegd. Zorg dat je ten alle tijden de data opslaat en dat je kunt bewijzen dat rechtmatig toestemming is verkregen.
3. Verwerk de rechten van de betrokkene
In de nieuwe wet staat transparantie voorop: de betrokkene moet geïnformeerd worden over wat er met zijn persoonsgegevens gebeurt. Communiceer alles dan ook in eenvoudige en duidelijke taal. Controleer ook het privacy statement en pas het aan om de rechten van betrokkenen te waarborgen.
4. Administratieplicht
Wanneer je als organisatie niet kunt aantonen dat je voldoet aan alle verplichtingen uit de AVG, loop je het risico op een boete (tot 10 miljoen of 2% van de jaaromzet). Ga daarom na welke rol jouw organisatie speelt en welke verantwoordelijkheden je hebt. Denk hierbij aan toestemming, gegeven informatie, rechten van betrokkenen, beveiligen van gegevens en afspraken met eventuele bewerkers.
5. Verwerkersovereenkomst
Ga na of je bestaande bewerkersovereenkomsten, deze is nu binnen de Wet Bescherming Persoonsgegevens al verplicht, aan de verordening voldoen. De bewerkersovereenkomst geldt tussen de verantwoordelijke voor de persoonsgegevens en de partij die de persoonsgegevens verwerkt. Let bijvoorbeeld op de veranderingen in het gebruik van Google Analytics. De bewerker zal voortaan namelijk niet meer een externe partij mogen inschakelen om persoonsgegevens te verwerken, zonder vooraf schriftelijke toestemming van de verantwoordelijke.
Site/shop aanpassingen zijn nodig
Met het Speak stappenplan bereid je jouw organisatie voor op de nieuwe wet. Voor een volledige implementatie is het echter essentieel om ook je datastructuren te controleren en waar nodig aan te passen binnen de website en webshop.
Wij weten hoe!
Benieuwd naar hoe jij met jouw website of webshop kan voldoen aan de nieuwe wetgeving? Wij kunnen daar bij helpen! Neem gerust contact met ons op.