Help! De privacywet komt dichterbij… Ben jij daar (al) klaar voor?

De afgelopen periode hebben wij veel vragen gekregen over de nieuwe privacywet die op 25 mei aanstaande van kracht gaat. Onder de AVG krijgen de mensen van wie jij persoonsgegevens verwerkt meer en verbeterde privacyrechten.

Weet je niet over welke wet we het dan hebben? Lees dan eerst de blog van Emma. Weet je wel waar we het over hebben, maar weet je niet zeker of je hier wel klaar voor bent: lees dan rustig verder.

We kunnen wel zeggen dat we de afgelopen tijd druk bezig zijn geweest om uit te zoeken hoe we met deze (“nieuwe”) wet om moeten gaan. In dat blog beschrijven we ook hoe wij het als online bureau hebben aangepakt en geven we in de vorm van een stappenplan aan hoe wij jou adviseren om te werk te gaan. Let wel; de inhoud is dus voor elke organisatie anders.

Stap 1: Onderzoek naar gegevensverzameling

De eerste stap is eigenlijk een hele logische stap. Wat je normaliter ook altijd doet; eerst onderzoek doen voordat je campagne gaat voeren bijvoorbeeld. We kunnen nu zeggen dat het in veel gevallen ontzettend veel uitzoekwerk is: “wat moet ik precies verzamelen”. Er wordt natuurlijk erg veel over geschreven en verteld op de online en offline media. Maar een beknopte uitleg, enkele uitzonderingen daargelaten, is niet te vinden. Logisch ook, het is ook niet eenvoudig. Voor jou als werkgever of als werknemer die de verantwoordelijkheid heeft om dit uit te zoeken kan het een hels spinnenweb zijn.

Breng de volgende gegevens eerst in kaart, wij hebben dit in een spreadsheet (Excel-document) gedaan;

• Wie zijn al je partners? (let op: hier vallen dus ook al je medewerkers onder)
• Wie zijn al je leveranciers?
• Verwerken we persoonsgegevens?
• Verwerken onze partners/leveranciers persoonsgegevens?
• Met welk doel worden deze gegevens verwerkt?
• Waar komen deze gegevens vandaan?
• Hebben we toestemming gegeven dat we de gegevens verwerken?
• Met wie worden deze gegevens gedeeld?

Op deze manier heb je altijd direct een overzicht bij de hand mocht dit nodig zijn. Houd deze ook up-to-date! Je hebt onder de AVG namelijk een verantwoordingsplicht, wat inhoudt dat je altijd moet kunnen aantonen dat jouw organisatie in overeenstemming met de AVG handelt. Dit document up-to-date houden is onderdeel van je verantwoordingsplicht.

Wanneer je samenwerkt met partijen en/of leveranciers, dan ben je verplicht om met iedere verwerker een verwerkingsovereenkomst te sluiten. Dit geldt voor tools (Google Analytics/AdWords, Bing, Facebook, etc.) die je gebruikt maar ook met de hostingpartij van je website bijvoorbeeld.

Stap 2: Bewustwording

Vervolgens kwamen wij op een stukje bewustwording, voornamelijk intern. In jouw geval zou het logisch zijn om ‘onze’ stap 1 en 2 om te draaien. Zeker omdat het goed is om iemand, of in ons geval drie mensen (Bart, Emma en Jordy) verantwoordelijk te maken om jouw bedrijf AVG proof te maken. Houd er rekening mee dat de implementatie en het uitzoeken veel kan vragen van de beschikbare mankracht en middelen. Begin hier dus op tijd mee! Als in, direct nadat je dit blog hebt gelezen.

Houdt altijd in je achterhoofd dat de Autoriteit Persoonsgegevens (AP) sancties kan opleggen van maximaal 20 miljoen euro of 4% van jouw wereldwijde omzet wanneer je je niet aan de privacywetgeving houdt.

Sommige (grote) organisaties zijn verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal zelf of dit voor jouw organisatie geldt. Uiteraard mag je altijd vrijwillig een FG aanstellen.

Stap 3: Stel documentatie op

In stap 1 gaven we al aan met welke documentatie wij zijn begonnen. Maar er komt nog veel meer documentatie bij kijken. Het verwerkingsregister kun je ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Wanneer zij vragen om hun gegevens te corrigeren of misschien zelfs wel te verwijderen dan moet je hier gehoor aan geven. En dit moet je ook doorgeven aan de organisaties waarmee jij deze gegevens deelt. Denk bijvoorbeeld aan een medewerker die zijn contract opzegt en jij besteedt deze gegevens uit  aan een administratiekantoor. Maar dit kan in sommige gevallen ook werken bij nieuwsbrieven van een andere organisatie.

Welke documenten heb je nou precies nodig? Wij hebben de volgende documenten opgesteld of aangepast naar aanleiding van de nieuwe AVG privacywetgeving;

• Verwerkingsregister
• Algemene voorwaarden
• Privacyverklaring
• Cookieverklaring
• Verwerkingsovereenkomst(en) tussen jou en partners/leveranciers????
• Contracten van medewerkers

Heb jij jouw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met jouw verwerkers toereikend zijn en of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Goed om dit dus tijdig te controleren en breng indien nodig wijzigingen aan.

Rechten van betrokkenen

De privacywetgeving wordt gehanteerd zodat de gebruikers van wie jij persoonsgegevens verwerkt meer en verbeterde privacyrechten krijgen. Zorg er daarom voor dat zij hun privacyrecht goed kunnen uitoefenen. Ook krijgen zij recht op inzage, correctie, verwijdering en transport (iemand kan vragen of je hun gegevens naar een andere partij kan sturen).

Hoe kan je hier rekening mee houden?

• Biedt gebruikers bijvoorbeeld een “opt-out” aan. Een optie om je altijd uit te kunnen schrijven van een nieuwsbrief. Daarnaast mag je niet zomaar gebruikers toevoegen aan je nieuwsbrief wanneer zij in het verleden iets in jouw webshop hebben gekocht.
• Bevat jouw website een contactformulier? Zorg er dan voor dat je deze gegevens alleen gebruikt om contact op te nemen. Je mag zonder toestemming (opt-in) deze gegevens nergens anders voor gebruiken.
• Zorg dat jouw website/webshop beschikt over een SSL-certificaat voor een veilige verbinding. Heb je deze nog niet geïnstalleerd? Neem dan contact op!
• Zet in je privacybeleid hoe lang je bepaalde persoonsgegevens bewaard. In de AVG staan geen termijnen. Let wel op! “Voor altijd”, en synoniemen daarvan zijn géén termijnen. Bedenk dus goed wat je wel kan zeggen.

Maar ook moet je rekening houden met de Nederlandse cookiewet. Deze zal naar verwachting in 2019 of 2020 plaats gaan maken voor de e-privacyverordening (EPV). Dit duurt natuurlijk nog even, maar het is slim om deze nieuwe regels alvast mee te nemen in je privacybeleid. De e-privacyverordening zal namelijk naast de AVG van kracht zijn.

Er bestaan drie verschillende soorten cookies:

• Functionele cookies, deze cookies zijn nodig om je website te laten werken. Bijvoorbeeld om de bezoeker bij herhaalbezoek te herkennen, waardoor het inlog-proces wordt versneld evenals het invullen van (standaard) formulieren.
• Analytische cookies, hiermee krijg je inzichten van jouw website/webshop. Google Analytics maakt hier bijvoorbeeld gebruik van.
• Marketing(of tracking) cookies, door middel van deze cookies kun je het surfgedrag van bezoekers volgen. Zodat je als organisatie gerichte informatie verstrekken, bijvoorbeeld aanbiedingen doen of remarketing en targeting campagnes.
• Je moet ook vertellen hoe lang je deze cookies bewaart, een zogenoemde ‘vervaldatum’. Deze moet je laten zien waar jouw bezoekers hun toestemming (of juist geen toestemming) kunnen geven.

Gebruikers kunnen bij de Autoriteit Persoonsgegevens (AP) klachten indienen over de manier waarop jij met hun gegevens omgaat. De AP is dan ook verplicht om deze klachten te behandelen. En kunnen dus ook informatie bij jou opvragen.

Stap 4: Privacy by design en privacy by default

Door de eerdere stap ‘bewustwording’ na te streven binnen jouw organisatie zorg je er ook voor dat er bewust met de ‘privacy by design’ en ‘privacy by default’ om wordt gegaan. Ik leg dit graag even uit.

Privacy by design

Dit houdt eigenlijk in dat je bij het ontwerpen van producten en diensten zorgt dat de persoonsgegevens goed worden beschermd. En ook dat je niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking en dat je deze gegevens niet langer bewaart dan nodig.

Privacy by default

Dit houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je als standaard(!) alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Denk aan bijvoorbeeld aan;

• Het vakje “Ja, ik wil aanbiedingen ontvangen” niet automatisch aangevinkt staat.
• Als een gebruiker zich wilt abonneren op jouw nieuwsbrief, je niet meer gegevens vraagt dan nodig; alleen een naam(geef dan aan dat het om personalisatie gaat) en een e-mailadres.
• Een applicatie die je aanbiedt niet de locatie van gebruikers te laten registreren als dat niet nodig is.

Stap 5: Datalekken melden!

De AVG stelt met de nieuwe wet strengere eisen aan het registreren en melden van datalekken die zich hebben voorgedaan. Je moet alles documenteren! De Autoriteit Persoonsgegevens moet kunnen controleren of jij aan de meldplicht heeft voldaan.

Heb jij een verhoogd privacyrisico?

Als de kans groot is dat jouw gegevens een hoog privacyrisico met zich mee brengen, denk bijvoorbeeld aan gemeenten of  ziekenhuizen. Dan kan het verplicht worden om een DPIA (Data Protection Impact Assessment) uit te voeren. Dit instrument wordt gebruikt om vooraf privacyrisico’s in kaart te brengen om vervolgens maatregelen te kunnen nemen om deze risico’s te verkleinen. Als organisatie weet je zelf wel of jij in dit ‘hoge risicovolle segment’ valt of niet. Bij twijfel adviseren we altijd om zelf contact op te nemen met de Autoriteit Persoonsgegevens. Deze voorzien jou dan van een schriftelijk advies.

Tot slot

Vergeet niet dat je altijd toestemming nodig hebt van de betrokkenen. De AVG is hier heel streng op. Evalueer de manier waarop jij toestemming vraagt, krijgt en registreert. En pas waar nodig aan. Je moet altijd kunnen aantonen dat je (geldige) toestemming van gebruikers hebt gekregen om hun persoonsgegevens te verwerken. Vergeet daarbij niet dat het net zo makkelijk moet zijn om hun toestemming in te trekken als om deze te geven.

Wanneer je al deze punten verwerkt ben jij klaar voor de AVG wetgeving vanaf 25 mei aanstaande. En dat kan inderdaad een behoorlijke klus zijn.

Heb jij nog specifieke vragen, of loop je bij één van de vijf stappen vast? Laat het ons gerust weten. Vraag je accountmanager om hulp!

Deel dit artikel op je socials