De 'General Data Protection Regulation' - GDPR

De GDPR (General Data Protection Regulation), ook wel bekend als de Algemene Verordening Gegevensbescherming is de wet en regelgeving omtrent het verzamelen van persoonsgegevens. Het lijkt een ingewikkeld verhaal, met voornamelijk juridische kanten. Met deze blog proberen we een beetje inzicht te geven in wat het in de praktijk voor gevolgen heeft.

Als je het ons vraagt, ja, het is goed dat de GDPR van kracht gaat. Want niemand is erbij gebaat als persoonlijke gegevens door onzorgvuldig gebruik op straat komen te liggen. Ook als je niks te verbergen hebt, kan jouw informatie in verkeerde handen terecht komen.

Maar hoe ga je daar dan als bedrijf mee om?

Jouw website

Laten we beginnen met dat we iedereen aanraden om niet meer informatie van bezoekers te vragen dan strikt noodzakelijk is. Heb je een inschrijfformulier voor een nieuwsbrief op je website staan, dan heb je echt niet meer nodig dan het mailadres. Het klinkt zo logisch, maar het blijft ons verbazen hoe vaak je toch ook nog andere gegevens moet invullen als je je wilt abonneren op een nieuwsbrief.

Zorg er voor dat je ‘privacy by design’ in een hoog vaandel hebt staan. Dus zodra je een nieuwe website gaat (laat) bouwen, hou je bij het ontwerp al rekening met de privacy van jouw bezoekers.

Verklaar aan de bezoekers van jouw website waarom je bepaalde gegevens verzamelt en wat je daar vervolgens mee doet en gebruik hiervoor begrijpelijke taal. Hier op kantoor wordt vaak de ‘begrijpt mijn moeder/ mijn oma/ Lieneke dit?’ techniek toegepast.

Vraag te allen tijde toestemming voor het verzamelen van persoonsgegevens. En let op! Persoonsgegevens zijn niet alleen NAW gegevens. In feite is alle informatie die naar een persoon kan leiden een persoonsgegeven, dus ook ip-adressen.

De cookiemelding als je bijvoorbeeld Google Analytics gebruikt, moet heel duidelijk aangeven welke persoonlijke gegevens je verzamelt, waarom je dat doet én je mag die gegevens pas verzamelen nadat iemand op ‘OK’ heeft geklikt.

Mocht het een uitgebreid verhaal worden, maar wil je niet een enorme cookie-wall op je website, dan kun je er ook voor kiezen om meer uitleg te geven op een aparte pagina.

Vraag de bouwer van jouw website om eventuele verzamelde gegevens versleuteld op te slaan. Op die manier voorkom je dat gegevens makkelijk in te zien zijn voor niet geautoriseerde personen.

Jouw organisatie

Afhankelijk van het type organisatie én wat voor persoonsgegevens jouw organisatie verwerkt, zal je ook een functionaris voor gegevensbescherming moeten aanstellen. Dit is iemand die intern in de gaten houdt of er secuur met de gegevens om wordt gegaan en in geval van een datalek zal de functionaris ook degene zijn die een melding doet bij de autoriteiten.

Mensen van wie jouw organisatie gegevens verzamelt, moeten deze gegevens in kunnen zien. Daarnaast hebben zij ook het ‘recht om vergeten te worden’. Dus neemt iemand contact met je op met het verzoek om deze gegevens in te zien of ze te laten verwijderen, dan ben je verplicht daar aan meewerken. Je zult hiervoor jouw informatievoorziening dus zo in moeten richten, dat je dit mogelijk maakt.

Verder zal je als organisatie met de bedrijven die persoonsgegevens voor jou verwerken een verwerkersovereenkomst af moeten sluiten. Denk aan de website-bouwer, maar ook het bedrijf dat de pensioenen en salarisadministratie van jouw organisatie doet.

Samenvattend

Een tegeltje uit grootmoeders tijd is volgens ons best van toepassing hier:

‘Wat u niet wilt dat u geschiedt, doe dat ook een ander niet’.

Ofwel, zorg ervoor dat je veilig met andermans gegevens om gaat.

Wees je er bewust van dat je iets nooit helemaal veilig kunt maken. Hoe hard je ook je best doet, in de toekomst kan er altijd een lek naar boven komen in een systeem dat eerder onfeilbaar leek. Of dit nou gaat om een fysieke kluis of een database op een server. Juist daarom is het van belang dat je de beveiliging goed integreert in jouw organisatie. Zodat, als er onverhoopt iets mis gaat, de schade tot een minimum beperkt kan worden.

Meer informatie

Wil je meer informatie over de GDPR, kijk dan vooral ook op de website van Autoriteit Persoonsgegevens. https://autoriteitpersoonsgegevens.nl

Gelijk aan de slag? Download hier het stappenplan. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2017-11_stappenplan_avg_online_v2.pdf

Of gebruik deze blog van onze concullega Acato om een eerste stap te zetten: https://www.linkedin.com/pulse/maak-6-stappen-je-website-gdpr-proof-sophie-lotgering

Mocht je weinig tijd hebben, dan raden we je aan om in ieder geval dit overzicht van de EU even te bekijken. Dat geeft een aardig beeld van wat de GDPR behelst. http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_nl.htm

Andere blogs