GDPR: Je hoort er van alles over, maar wat betekent het voor jou?

Nieuwe privacy-wetgeving

Bedrijven krijgen een grotere verantwoordelijkheid in het beheren van hun gegevens. Dit wordt geregeld in de Algemene Verordening Gegevensbescherming (AVG). Vanaf 25 mei 2018 kan de Autoriteit Persoonsgegevens boetes opleggen voor het overtreden van de AVG wetgeving.

Wat betekent de AVG eigenlijk voor mij als ondernemer? In één regel samengevat houdt het in dat het duidelijk moet zijn hoe je omgaat met persoonsgegevens en dat je je daarbij houdt aan de regels zoals die in de nieuwe wet zijn omschreven. In deze nieuwsbrief speciaal voor jou een stoomcursus AVG waarin we ingaan op:

Wat houdt de AVG precies in?
De wet (in het Engels spreekt men van de GDPR, de General Data Protection Regulation) geldt voor alle organisaties binnen Europa die gegevens verwerken en overtreding van de regels kan leiden tot hoge boetes. De wet zegt dat verwerking van persoonsgegevens alleen is toegestaan als het voldoet aan minimaal één van een aantal zogenaamde ‘verwerkingsgrondslagen’ waarvan ik er hier drie noem die het meest van toepassing zijn:

Er is aantoonbaar en ondubbelzinnige toestemming gegeven. Denk aan een nieuwsbrief of formulier waarmee mensen zich inschrijven. Als dat via een opt-in email is gebeurd is ondubbelzinnig en aantoonbaar toestemming gegeven.
De gegevens zijn noodzakelijk voor uitvoering overeenkomst. Denk aan de aankoop van een product. Hierbij mag je de adresgegevens bewaren omdat die nodig zijn voor de levering van het product.
De gegevens zijn noodzakelijk in verband met wettelijke verplichting. Denk hierbij aan de gegevens die op een factuur staan die je aan een klant hebt gestuurd. De factuur en die gegevens moeten bewaard blijven gedurende een wettelijk vastgestelde bewaartermijn.
Daarnaast stelt de nieuwe wetgeving dat jij als ‘gegevensverwerker’ je moet houden aan een aantal spelregels:

Rechtmatigheid, behoorlijkheid en transparantie: het moet controleerbaar zijn hoe de gegevens worden verwerkt
Gegevens mogen alleen worden verwerkt voor een vooraf vastgesteld doel
Dataminimalisatie : er mogen niet meer gegevens worden verwerkt dan strikt noodzakelijk is
Juistheid / actualiteit: betrokkenen bepalen zelf hoe zij geregistreerd willen staan
Opslagbeperking: gegevens mogen niet langer dan nodig worden opgeslagen
Integriteit en vertrouwelijkheid (beveiligingsplicht): risico’s op oneigenlijk gebruik moeten zijn geminimaliseerd

Over welke gegevens hebben we het?
Het betreft in principe alle gegevens die gerelateerd kunnen worden aan een persoon. Dus naam, geslacht, emailadressen, adresgegevens, vrije velden. Deze ‘normale’ gegevens worden in Autorespond vastgelegd en wellicht heb je deze gegevens deels ook in eigen Excelsheets of andere bestanden staan.

Daarnaast onderkent de wet ook ‘bijzondere persoonsgegevens’. Dit zijn gegevens over iemands ras, geaardheid, politieke voorkeur, gezondheid, strafrechtelijk verleden (maar ook het burgerservicenummer!). Deze gegevens mogen niet zomaar worden bewaard door een organisatie.

Alle gegevens die je bijhoudt, moeten door de betreffende relatie kunnen worden opgevraagd (inzage) en op verzoek kunnen worden gecorrigeerd of verwijderd.

De gegevens moeten daarnaast goed worden beschermd. Het moet duidelijk vastgelegd zijn hoe je dit hebt gedaan en er moet een draaiboek liggen indien er sprake mocht zijn van een ‘gegevenslek’. Denk hierbij aan een verloren USB stick of een gestolen of gehackte laptop. De eerste actie is het melden van dit lek bij de autoriteit persoonsgegevens. Het niet melden van een datalek kan boetes opleveren.

Wat moet ik doen?
Wat te doen? Een eerste goede stap is om voor jezelf een overzicht te maken van alle gegevens die je verzamelt over klanten en prospects:

– over welke gegevens gaat het precies? (welke ‘velden’)
– hoe kom je aan die gegevens? (Bijvoorbeeld via formulieren op je website, via netwerk-gesprekken,
etc)
– waar zijn deze gegevens nu opgeslagen? (Denk aan Autorespond, spreadsheets op je laptop of in de
cloud, en vergeet de gegevens in bijv. MS Outlook niet!)
– kun je aantonen hoe je aan die gegevens bent gekomen en of de betreffende relatie daar toestemming
voor heeft gegeven?

Daarnaast gaan wij je helpen! We zijn bezig om een checklist te maken die je kan gebruiken om te zorgen dat je volgend jaar voldoet aan de eisen die de AVG stelt.

Wij gaan je hiermee helpen!
Zoals gezegd werken we aan een checklist die we in een volgende nieuwsbrief zullen toelichten.

Daarnaast zijn we bezig met het aanpassen van Autorespond om het makkelijker te maken voor relaties om hun gegevens in te zien en te wijzigen. Deze optie is beschikbaar via de ‘selfservice’ link die je in emailteksten kunt gebruiken, en zal nog worden uitgebreid. Ook komt er een lijst beschikbaar van relaties en hun opt-in gegevens zodat je makkelijker kunt aantonen wanneer en hoe een klant toestemming aan jou heeft gegeven om zijn/haar gegevens op te slaan.

Verder komt er binnenkort een zogenaamde data-bewerkersovereenkomst beschikbaar. Dit is een document waarin wij als Autorespond beschrijven hoe wij omgaan met de gegevens in jouw administratie. Dit document kun jij gebruiken om indien nodig aan te tonen hoe de gegevens van jouw relaties binnen Autorespond worden beheerd.

Meer informatie dus in onze volgende nieuwsbrief! Als je voor die tijd meer wilt weten kun je op de website van de autoriteit persoonsgegevens veel informatie vinden. Heb je nog vragen hierover? Stuur ze naar support@autorespond.nl.

Groet,
Pieter Emeis

Recommend0 recommendationsPublished in tips
Jouw eigen blog hier? Wordt gastblogger bij Autorespond! Bekijk alle details

gerelateerde artikelen