Search
Exact matches only
Search in title
Search in content
Search in excerpt
Search in comments
Filter by Custom Post Type

Ben jij al GDPR ready?

02 jan. 2018 / Bob Heinen / Development / 12 min.

Je hebt er wellicht al iets over gehoord: de Europese privacyverordening ‘GDPR’ (in Nederland wordt ook de term AVG gebruikt). Maar wat is het precies? Waarom is dit voor mij belangrijk? Hoe ga ik ermee te maken hebben?

Voorbereiden op de GDPR

Geen stress! Er bestaat momenteel veel onduidelijkheid en onzekerheid bij MKB-ers over de invoering van de maatregelen: wat betekent het, wat moet ik doen om te voldoen aan GDPR, welke stappen dien ik te zetten? Eigenlijk verandert er niet gigantisch veel ten opzichte van je huidige plichten omtrent data. De GDPR (wat staat voor General Data Protection Regulation) is een uitbreiding op en vervanging van de WBP (wet bescherming persoonsgegevens). Als je die al goed hebt geïmplementeerd, ben je al op 65%! Voldoe je daar ook nog niet helemaal aan?

In drie blogs zoeken we samen met je uit wat de regelgeving inhoudt en wat de vereisten zijn om te voldoen. We gaan je helemaal bijpraten over GDPR en welke implicaties het heeft voor de gemiddelde MKB-er.

Let op: we zijn geen juristen! Deze reeks blogs en alle verwijzingen die we doen, zijn niet door een jurist bekeken. Er kunnen dus geen rechten aan worden ontleend!

Waarom nieuwe regelgeving?

Het doel van de GDPR is om een set van gestandaardiseerde data-beveiligingsregels in te voeren voor alle EU-lidstaten. Dat zou het eenvoudiger moeten maken voor EU-burgers om te begrijpen hoe hun persoonsgegevens worden gebruikt en opgeslagen, en om bezwaar te maken tegen dat gebruik, zelfs als ze zich bevinden in een ander land dan waar de data zich bevindt.

Kort gezegd geeft het burgers de controle over hun persoonlijke data, terwijl strengere regels worden opgelegd aan de bewaarders en bewerkers van deze data, overal ter wereld. Het geeft EU burgers een uitgebreider recht op bescherming van zijn of haar persoonsgegevens. Bedrijven zullen met die rechten rekening moeten houden en het gehele proces van gegevensverzameling en communicatie richting klant in lijn moeten brengen met de richtlijnen rond GDPR.

Wat is GDPR?

GDPR staat voor ‘General Data Protection Regulation’. In Nederland wordt ook de afkorting AVG (Algemene verordening gegevensbescherming) gebruikt.

De GDPR is een vordering, geen richtlijn. Het is dus geen vrijblijvende verzameling regels en voorschriften, maar een wettelijke Europese verordening die rechtstreeks van toepassing is op alle rechtspersonen binnen de EU.

Het belangrijkste uitgangspunt van de nieuwe regelgeving is dat persoonsgegevens worden beschermd. Dat uitgangspunt is gestoeld op twee beginselen:

  1. de rechten van persoonlijke gegevens liggen bij de persoon waar ze betrekking op hebben. Dat betekent dat een individu het recht heeft om bij een bedrijf op te vragen welke gegevens het van hem of haar verzamelt, welke gegevens het al heeft en zelfs het recht heeft om alle persoonsgegevens te laten verwijderen.
  2. de plichten voor het zorgvuldig, veilig en zo beperkt mogelijk opslaan en gebruiken van die gegevens ligt bij de verwerker van die gegevens (de zogenaamde verwerkersverantwoordelijke). Zo moet voor elk gebruik van gegevens uitdrukkelijk toestemming zijn verleend, mogen slechts die gegevens worden verzameld die benodigd zijn voor het beoogde gebruik en moeten die gegevens veilig worden opgeslagen. Voor de veiligheid van de platformen waarop die gegevens zijn opgeslagen, is de organisatie zelf verantwoordelijk.

Een voorbeeld: Bol.com verzamelt veel gegevens van klanten en prospects. Die gegevens zullen zich in verschillende systemen bevinden. De plichten van Bol.com zijn onder andere dat het bedrijf op elke plek waar het gegevens verzamelt, duidelijk zal moeten maken waar de gegevens voor worden gebruikt. Verder zullen alle systemen en platformen waar persoonsgegevens worden opgeslagen, moeten voldoen aan de regels met betrekking tot privacy en veiligheid. Een nieuwsbrief-inschrijfformulier zal dus vergezeld moeten worden van zowel een opt-in en verklaring waarvoor de gegevens worden gebruikt, alsook een vermelding van de privacyverklaring.

Een rechtspersoon zal het recht hebben om bij Bol.com op te vragen welke gegevens het bedrijf heeft verzameld. Bol.com is verplicht om binnen de mogelijkheden een overzicht van die gegevens aan een persoon te overhandigen. Verder heeft die rechtspersoon het recht om vergeten te worden door Bol.com. Dat zal in de praktijk betekenen dat veel gegevens verwijderd zullen moeten worden, en dat op alle plaatsen waar gegevens worden verwerkt, een opt-out moet worden geregistreerd.

Zoals je leest zijn die maatregelen potentieel erg ingrijpend voor je bedrijfsvoering. Het is belangrijk om hierbij de uitgangspunten van deze regelgeving in je achterhoofd te houden:

  • Transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • Gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • Juistheid: de persoonsgegevens moeten correct zijn en blijven
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen
    Onder persoonsgegevens vallen alle gegevens die gerelateerd zijn aan een individuele persoon, of indirect naar een individu zijn terug te leiden. Het kan dus ook gaan om een gebruikersnaam van een bepaald systeem, een ip-adres of andere data.

Voor wie geldt de regelgeving rond GDPR?

Elke organisatie die op enige manier persoonsgegevens verzamelt, beheert of gebruikt, moet aan de GDPR voldoen. Dus ook jouw organisatie! Heb je een contactformulier op je website? Verzamel je e-mailadressen voor een nieuwsbrief? Heb je een klantenbestand (binnen jouw CRM of boekhoudprogramma, of zelfs nog in een Excel-bestandje)? Bewaar je ergens foto’s van klanten of eigendom van klanten (denk aan schilders of makelaars)? Stuur je facturen? In alle gevallen zal je moeten voldoen aan de regels rondom GDPR.

En omdat elke organisatie (van eenmanszaak tot multinational) op enig niveau dit soort gegevens verzamelt, beheert of verwerkt, betekent het dat je al snel moet voldoen aan de regels!

Wel worden er strengere eisen gesteld aan organisaties die veel of gevoelige persoonsgegevens verwerken. Sla je bijvoorbeeld gegevens over religie, seksuele voorkeur of medicijngebruik op? Dan zal je stricter aan de regels van de verordening moeten voldoen.

Maar ook partijen waar gegevens van jouw klanten worden opgeslagen, vallen onder de regels. Je zal er dus zeker van moeten zijn dat die organisaties ook voldoen aan alle regels. Denk bijvoorbeeld aan banken, boekhoudsoftware, payment gateways (Mollie), Mailchimp, e-mailplatformen als Google of Office365, en alle overige partijen waarmee jij gegevens deelt of klantgegevens opslaat. Je zal dus met de leverancier van die diensten afspraken moeten maken over taken en verantwoordelijkheden in het kader van veilige verwerking van persoonsgegevens.

Waar geldt de GDPR?

Niet alle bedrijven waar je mee werkt krijgen zelf te maken met de GDPR. Het is aan jou om ervoor te zorgen dat deze partijen voldoen aan de voorwaarden. De regels omtrent GDPR gaan gelden voor de gehele Europese Unie en alle rechtspersonen daarbinnen (inclusief Groot-Brittannië, zelfs na de Brexit). Maar ook voor bedrijven buiten de EU die gegevens verzamelen van rechtspersonen binnen de EU, gaan de regels gelden. Een Japanse multinational die telefoons verkoopt en klantgegevens voor een winactie verzamelt, zal dus ook aan die regels moeten voldoen!

Maar ook de opslag van gegevens van Europese rechtspersonen buiten de EU zal moeten voldoen aan de verordening. Dus verzamel je als bedrijf persoonsgegevens binnen Mailchimp, of sla je e-mails op in Gmail? Zorg er dan voor dat die partijen voldoen aan de voorwaarden!

De regels zijn dus relevant voor elk bedrijf dat iets wil doen met elke vorm van persoonsgegevens van een rechtspersoon in de EU. Dat gaat over opslag van gegevens, acquisitie richting natuurlijke personen en verwerken van gegevens.

Wanneer gaat de GDPR in?

De Europese wetgeving rond GDPR is al op 24 mei 2016 in werking getreden in de gehele EU. Op 25 mei 2018 zal de GDPR van toepassing worden. Vanaf die datum kunnen partijen aangesproken worden op naleving en kunnen boetes worden opgelegd. Je hebt dus tot 25 mei 2018 om de regels omtrent GDPR volledig te implementeren en jouw bedrijfsvoering met de GDPR in overeenstemming brengen.

Wat is GDPR vooral niet?

De regels behandelen vooral niet wat bedrijven met een e-mailadres doen (het gebruik van data). Aan die regelgeving wordt nog gewerkt. Het gaat vooral om hoe veilig en doelmatig data wordt opgeslagen.

Het betekent ook niet dat er geen gegevens over gebruikers meer mogen worden opgeslagen. Data die je binnen Google Analytics verzamelt zal nooit onder deze regelgeving vallen, mits je geen persoonsgegevens verzamelt.

Nog 5 maanden: ga jij het redden?

Zoals je leest zijn er nogal wat zaken waar je aan zal moeten voldoen om GDPR ready te zijn! Ook wij voldoen nog niet helemaal aan de regelgeving, maar we zijn op de goede weg. We bewandelen graag die weg met jou en zullen zoveel mogelijk tips en handvaten delen om ook jouw organisatie te helpen GDPR compliant te worden. Volg dus onze komende blogs.

De Autoriteit Persoonsgegevens heeft een handige checklist opgesteld waarmee je al kan controleren of je je huidige processen en diensten op bepaalde punten moet aanpassen om te voldoen aan de GDPR.

Bekijk de checklist hier.

Verder raden we je aan om eens goed op een rij te zetten waar jouw organisatie gegevens verzamelt en opslaat. Zo’n overzicht kan er als volgt uitzien:

Locatie gegevensWelke gegevensDoel van gegevensGegevens daar nodig?Opt-in voor verder gebruik?Hoe lang gegevens bewaren?
MailchimpNaam, e-mailadres, opt-inNieuwsbrief sturenJaJa5 jaar (gemiddelde geldigheidsduur opt-in)
Website/CMS (download whitepaper)Naam, telefoon, emailDownloaden whitepaperNee, downloaden start ook zonder deze gegevensNee, geen uitdrukkelijke toestemming voor opvolging
Website/CMS (contactformulierNaam, telefoon, email, opmerkingVerzamelen gegevens voor Sales/supportNee, gegevens worden via mail gestuurdJa, want klant initieert contactDirect na inzenden formulier data wissen

Verder is het goed om je privacy statement eens na te pluizen. Die zal vooral duidelijk, begrijpelijk en specifiek moeten zijn. Verder bestaat deze na 25 mei minimaal 11 punten beslaan. Deze video maakt veel duidelijk:

Conclusie: werk aan de winkel!

Het is duidelijk dat GDPR nogal wat voeten in aarde heeft. Je zal actief met de materie aan de slag moeten om ervoor te zorgen dat ook jij voldoet aan de aankomende regelgeving!

Om je daarbij te helpen, schrijven we onder andere een drietal blogs over het onderwerp. Dit is blog 1. In het tweede blog (die we aan het begin van het nieuwe jaar publiceren) gaan we dieper in op de stappen die benodigd zijn om GDPR binnen jouw organisatie en website te implementeren. We geven je daarvoor een laagdrempelig stappenplan, waar je meteen mee aan de slag kan. In de derde blogpost gaan we dieper in op de manieren waarop Stuurlui je kan helpen bij de implementatie en het blijven voldoen van jouw website aan GDPR. Denk daarbij aan cookie-meldingen, formulieren, data die je binnen je website opslaat en dergelijke.

We zijn zelf ook druk bezig met GDPR. Niet alleen de implementatie ervan binnen ons bedrijf, maar ook hoe we onze klanten het beste kunnen begeleiden in het proces. Onze bevindingen delen we uiteraard graag met je. Houd daarom onze sociale kanalen in de gaten en schrijf je in voor onze nieuwsbrief!

Ben jij al klant bij ons en wil jij er zeker zijn dat wij jou als eerste helpen om GDPR compliant te worden? Schrijf je dan via onderstaande formulier alvast in. Of neem contact op met je vaste contactpersoon bij Stuurlui.

 

Ben je benieuwd of Stuurlui jou kan helpen?

Thomas Kroese

Founding partner & business development
Een fullservice WordPress bureau in Utrecht
Een fullservice WordPress bureau in Utrecht

Ahoy…

Wij zijn Stuurlui. Een fullservice WordPress bureau in Utrecht. Wij ontwerpen, bouwen en onderhouden maatwerk WordPress websites. Stuurlui bestaat uit een ervaren team van 16 bemanningsleden. We zijn klein genoeg om snel te schakelen en groot genoeg om specialisten op ieder gebied in huis te hebben.

Ons werk

Search
Exact matches only
Search in title
Search in content
Search in excerpt
Search in comments
Filter by Custom Post Type

Bezoek ons

Campus Werkspoor
Nijverheidsweg 16
3534 AM, Utrecht