GDRP: wat betekent dit voor uw bedrijf?

GDPRDat de GDPR een behoorlijke impact kan hebben op de dagelijkse bedrijfsvoering is duidelijk. Het geeft namelijk niet alleen richtlijnen voor de verwerking van persoonsgegevens, maar heeft een verregaande invloed op de dagelijkse bedrijfsvoering.

Impact van de GDPR

In tegenstelling tot de oude situatie is er sinds 25 mei 2018 behoorlijk veel veranderd. Het is dan ook logisch dat veel ondernemers nog steeds met vragen zitten wat betreft de impact van de nieuwe Europese privacyregels. Waar het in essentie om gaat is dat de persoonsgegevens die u ontvangt van uw klanten of relaties, op de juiste manier worden opgeslagen en verwerkt.

Het ontstaan van de GDPR

Als ondernemer verzamelt u in veel gevallen redelijk veel informatie. Die informatie kan op tal van manieren worden verzameld. Denk maar aan de informatie die een bezoeker van uw website moet achterlaten op het contactformulier, bij het aanmaken van een supportticket of het aanmelden voor de nieuwsbrief.

Tot voor kort was het voor veel consumenten de vraag of die data inderdaad op de juiste manier werd gebruikt. Dat is dan ook de reden waarom de GDPR (General Data Protection Regulation) in het leven is geroepen. Deze verandert de manier waarop uw bedrijf klantgegevens verzamelt, opslaat en gebruikt. Het kan bijvoorbeeld gaan om de NAW-gegevens, maar ook andere gegevens kunnen worden opgeslagen. Denk bijvoorbeeld aan bankgegevens, contactinformatie, woonadressen, gegevens van social media en ip-adressen. In veel gevallen wordt er gesteld dat deze gegevens noodzakelijk zijn om de gebruikerservaring te optimaliseren. Met behulp van deze gegevens kan de klant of relatie van relevante informatie worden voorzien.

Veel ondernemers zijn nog niet volledig op de hoogte van GDPR

Uit een onderzoek onder ruim 800 ICT-bedrijven, blijkt dat ruim 80% van de relaties voor wie men persoonsgegevens verwerkt, niet goed op de hoogte zijn van de actuele regelgeving en de impact op de dagelijkse bedrijfsvoering door de invoering van de GDPR. Het betreft hier een onderzoek onder bedrijven die belast zijn met de beveiliging van data, afkomstig van ondernemingen met een Europees klantenbestand. De uitkomsten van dit onderzoek worden bevestigd door TrustArc. Recent kwam men met de mededeling dat slechts 20% van de bedrijven van mening is dat ze momenteel voldoen aan de vereisten van de GDPR.

Die aantallen zijn reden tot zorg. Het niet correct opvolgen van de richtlijnen zoals die in de Europese wetgeving staan vermeld kan gevolgen hebben. Tegenover het percentage bedrijven wat meent al te voldoen aan de nieuwe Europese privacy wetgeving staan de bedrijven die nog moeten beginnen met het voldoen aan de eisen van de GDPR. Dit is 27%, terwijl de invoering van de GDPR reeds lang achter ons ligt.

Wat is GDPR?

Vanaf 25 mei 2018 is er in Europa een nieuwe Europese privacyregeling van kracht. Dit is de General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming.

De nieuwe regeling komt in de plaats van de verschillende privacywetten zodat er nu een uniforme wetgeving van kracht is in de gehele Europese unie. De GDPR is van toepassing op alle bedrijven die persoonsgegevens verzamelen, verwerken en beheren van mensen in de EU. Burgers in de EU hebben zo meer controlemogelijkheden en kunnen er vanuit gaan dat hun gegevens dankzij de nieuwe privacywetgeving beter zijn beschermd.

Wat zijn persoonsgegevens volgens de GDPR?

Vanwege de doelstelling van de GDPR komt het begrip ‘persoonsgegevens frequent voor. Om misverstanden te voorkomen hanteert de GDPR hier dan ook een vastomlijnde definitie voor. Wanneer er wordt gesproken over persoonsgegevens, dan wordt hieronder alle informatie verstaan die betrekking heeft op een individueel persoon. Het kan dan gaan om algemene informatie zoals de naam, foto’s en emailadressen. Ook andere informatie zoals bankgegevens, de medische geschiedenis, activiteiten op social media, locatiegegevens en IP-adressen vallen hieronder.

Binnen de GDPR wordt geen onderscheid gemaakt tussen de verschillende personen. Het heeft daardoor zowel betrekking op de gegevens van een particulier als mensen in dienst van een onderneming. De bepalingen van de GDPR kunnen daardoor een behoorlijke impact hebben. Het gaat namelijk niet alleen om de persoonsgegevens van particuliere consumenten, maar ook om informatie van personen die wordt verkregen in het zakelijke verkeer. Ook in het zakelijke verkeer verloopt de interactie tussen personen onderling.

De rechten van personen binnen de GDPR

De reikwijdte van de bepalingen in de GDPR zorgt er ook voor dat personen bepaalde rechten hebben als het gaat om de verwerking en bewaring van informatie.

1. Er is toestemming nodig

Bedrijven mogen alleen persoonlijke informatie verwerken als hiervoor uitdrukkelijk toestemming is gegeven. Deze toestemming moet dus ondubbelzinnig zijn en zijn verkregen door een verklaring of een actieve handeling. Dit is bijvoorbeeld het geval bij de aanmelding voor een nieuwsbrief op een website.

2. Recht op inzage

Heeft een individueel toestemming gegeven voor het opslaan en verwerken van de persoonsgegevens, dan heeft men altijd het recht om deze gegevens in te zien en te weten hoe u als ondernemer deze gegevens gebruikt. U bent daarnaast als ondernemer verplicht om een digitale kopie van de persoonsgegevens te verstrekken als daarom wordt gevraagd door de persoon waar deze gegevens betrekking op hebben. Voor het verstrekken van die informatie mogen geen kosten in rekening worden gebracht.

3. Het recht om verwijderd te worden

Mensen hebben het recht om de gegevens die zijn opgeslagen te laten verwijderen. Dit kan bijvoorbeeld van toepassing zijn als men geen klant meer is, of wanneer de toestemming voor het verwerken en opslaan van de persoonsgegevens is ingetrokken.

4. Het recht om gegevens over te dragen

Personen kunnen verzoeken om de gegevens die zijn opgeslagen over te dragen aan een andere gegevensverwerker. De overdracht moet dan wel gebeuren op een manier waarop de informatie leesbaar is voor een computer.

5. Het recht om geïnformeerd te worden

Personen hebben het recht om, voorafgaande aan het verzamelen en de verwerking van hun persoonsgegevens, hierover geïnformeerd te worden. De persoon moet hier nadrukkelijk toestemming voor geven.

6. Het recht op correctie van informatie

Personen hebben het recht om de opgeslagen informatie te corrigeren. De bedoeling van dit recht is om ervoor te zorgen dat de opgeslagen informatie correct is.

7. Het recht op beperken van gegevensbewerking

Personen hebben het recht om gevrijwaard te zijn van de bewerking van hun persoonsgegevens. In de praktijk betekent dit dat het dossier blijft bestaan, maar dat de informatie in het dossier niet gebruikt mag worden.

8. Het recht op bezwaar

Ten gevolge van de bepalingen in de GDPR hebben personen het recht om te voorkomen dat hun gegevens worden gebruikt voor direct marketing. Op deze regel zijn geen uitzonderingen mogelijk! Zodra een belanghebbende een dergelijk verzoek doet, moet elke bewerking worden gestaakt. Het is belangrijk om dit duidelijk te communiceren vanaf het moment dat de gegevens worden verzameld.

9. Het recht om in kennis te worden gesteld

Bij het constateren van een data-lek moet de persoon waarvan de gegevens mogelijk zijn gelekt, op de hoogte worden gesteld. Dit moet binnen 72 uur na de constatering van een data-lek gebeuren.

Met de invoering van de GDPR wil de EU de rechten van personen, prospects, klanten, tijdelijke en vaste werknemers waarborgen. Op die manier wordt voorkomen dat bedrijven en organisaties die dergelijke gegevens verzamelen en bewerken teveel macht zouden krijgen. Met behulp van de nieuwe wetgeving wordt de veiligheid van de persoonsgegevens gegarandeerd en weten bedrijven en organisaties welke regels er gelden bij de verwerking en het opslaan van die persoonsgegevens.

Wat betekent GDPR voor bedrijven?

Voor bedrijven en organisaties ontstaat er met de invoering van de GDPR een nieuwe situatie. Het individu krijgt met de nieuwe wetgeving meer mogelijkheden om te bepalen wat er wel en wat er niet mag gebeuren met zijn of haar gegevens. Bedrijven en organisaties worden hierdoor verplicht aan de nieuwe regels te voldoen.

In het kort komt het erop neer alle bedrijven en organisaties die persoonsgegevens van inwoners van de EU ontvangen, verwerken en opslaan, zich aan de regels van de GDPR moeten houden. Dit geldt dus niet alleen voor organisaties en bedrijven die in de EU zijn gevestigd, ook indien zij niet in de EU zijn gevestigd, maar wel persoonsgegevens verwerken van EU-ingezetenen, is de GDPR van toepassing.

De functionaris gegevensbescherming

Een van de meest opvallende bepalingen in de GDPR is de aanstelling van een functionaris gegevensbescherming. In een aantal situaties is dit een verplichting:

  • Overheden en publieke organisaties.
  • Organisaties die als kerntaak hebben het volgen en in kaart brengen van individuen.
  • Organisties die op grote schaal bijzondere persoonsgegevens verwerken.
  • Organisaties die zich bezig houden met de verwerking van strafrechtelijke persoonsgegevens.

De functionaris gegevensbescherming heeft als taak om toezicht te houden op de naleving van de regels inzake de verwerking van persoonsgegevens zoals vastgelegd in de GDPR. Dit is niet zonder reden. In tegenstelling tot de oude situatie is het onder de GDPR wel mogelijk om boetes uit te delen indien de regels niet op de juiste manier worden gehanteerd. Deze boetes kunnen fors uitpakken: zo moet men rekening houden met een boete ter hoogte van 4% van de wereldwijde jaaromzet of een bedrag van 20 miljoen euro, afhankelijk van de vraag welk bedrag hoger is.

Wat betekent GDPR voor klantencontact

De invloed van de GDPR is met name te merken in het contact met de klant. U moet als ondernemer nadrukkelijk toestemming vragen aan de klant om zijn of haar gegevens te mogen verwerken. Het verkrijgen van een emailadres via een contactmoment houdt dus niet in dat u dat emailadres automatisch mag gebruiken voor de verzending van een nieuwsbrief als hiervoor geen duidelijk toestemming voor is verkregen. Voor elke aparte verwerking van persoonsgegevens moet dus toestemming zijn verleend.

Naast het verkrijgen van de expliciete toestemming, heeft de klant altijd het recht om die toestemming in te trekken. Voor u als ondernemer is het juist van belang om aan te kunnen tonen dat de klant voor de geplande verwerking van de persoonsgegevens toestemming heeft gegeven. U kunt niet langer uitgaan van een stilzwijgende toestemming en ook het opnemen van een bepaling dat bij het akkoord gaan met de algemene voorwaarden, automatisch toestemming wordt gegeven voor het gebruik van de gegevens, is niet langer afdoende. Het gaat dus om het nadrukkelijk verkrijgen van de toestemming.

De impact van GDPR

De invoering van de GDPR heeft dus nogal wat impact op de bedrijfsvoering. Met name op het gebied van marketing en verkoop is dit duidelijk merkbaar. Om aan de nieuwe wetgeving te voldoen moet u dus de huidige processen, (web)applicaties en (contact)formulieren aanpassen zodat deze in overeenstemming zijn met de bepalingen in de GDPR. In de praktijk betekent dit bijvoorbeeld dat de webformulieren moeten worden voorzien van een vakje wat men moet aankruisen om zodoende toestemming te geven. Vervolgens moet de juistheid van de opgegeven informatie per email worden bevestigd.

Indien een persoon bezwaar maakt tegen het ontvangen van een email, dan is het aan de ondernemer om te bewijzen dat er voor die handeling toestemming is gegeven. In de praktijk betekent dit dat er een mogelijkheid moet zijn om dit te controleren. Dit kan bijvoorbeeld door een tijdsduiding te vermelden bij de opgeslagen gegevens.

Die eis tot toestemming krijgen voor de verwerking van persoonsgegevens is niet alleen van toepassing op persoonsgegevens die u zelf heeft verkregen, bijvoorbeeld via uw bedrijfswebsite. Ook als u marketinglijsten via een derde partij aanschaft geldt deze verplichting. U bent dus altijd zelf verantwoordelijk voor het verkrijgen van toestemming, ook indien het verzamelen van persoonsgegevens is uitbesteed.

Voorbereidingen GDPR en privacy by design

Een niet onbelangrijk onderdeel van de GDPR is privacy by design. Hierbij is het belang om van te voren vast te stellen welke gegevens worden opgeslagen en hoe deze informatie wordt verwerkt. Om dit op de juiste manier te doen zijn enkele punten van belang:

1. Breng alle gegevens van de onderneming of organisatie in kaart

Om te kunnen voldoen aan de bepalingen van de GDPR is het van belang om te weten welke persoonsgegevens er worden bewaard en wat ermee wordt gedaan. Door zorg te dragen voor een goede opslag, te inventariseren wie toegang heeft tot de gegevens en wat de eventuele risico’s zijn, voorkomt u in een vroeg stadium al mogelijke problemen.

2. Wees selectief

Het kan verleidelijk zijn om zoveel mogelijk informatie te verzamelen, maar het is overbodig. Sterker nog, als gevolg van de GDPR moet u aan kunnen tonen dat de verzamelde gegevens ook daadwerkelijk relevant zijn. De bedoeling van de GDPR is juist om te zorgen voor een efficiënt gebruik van de persoonsgegevens.

3. Tref veiligheidsmaatregelen

Het doel van de GDPR is het garanderen van de veiligheid van de persoonsgegevens. Als ondernemer moet u dus afdoende veiligheidsmaatregelen treffen om het lekken van data te voorkomen. Het is dus verstandig om na te gaan hoe dit in uw situatie is geregeld en waar nodig de juiste veiligheidsmaatregelen te nemen. Mocht er ondanks alle poging toch een data-lek ontstaan dan bent u verplicht dit te melden.