Nieuwe privacywetgeving dwingt tot transparantie

23 juni 2017, 09:00

Ruim een jaar geleden is de zogenoemde General Data Protection Regulation, oftewel GDPR, in werking getreden. Hierdoor worden nieuwe en/of strengere eisen gesteld die we moeten implementeren. Daarvoor hebben we destijds twee jaar gekregen om wijzigingen door te voeren en vanaf eind mei 2018 wordt deze GDPR gehandhaafd. Dit kun je zien als een bedreiging omdat het ons zal beperken in onze mogelijkheden en daarnaast veel tijd en geld gaat kosten. Echter kun je dit ook zien als een kans om jezelf als een transparante organisatie neer te zetten. Dit is relevant, aangezien consumenten vragen dat we transparant zijn over wat we met hun persoonsgegevens doen. En actueel: gisteren schreef de NOS over een onderzoek van consultancybureau PwC onder 350 bedrijven waaruit blijkt dat ruim de helft van de bedrijven nog niet serieus begonnen is met de voorbereidingen.

“Als je nu nog moet beginnen, wordt het heel spannend”, zegt ict-jurist Arnoud Engelfriet tegen de NOS. De boetes bij niet voldoen aan de wet zijn niet mals: maximaal 4 procent van de jaaromzet of 20 miljoen euro, al is de kans groot dat de boetes in de praktijk lager uitvallen.

Dit artikel pretendeert niet volledig te zijn, maar dient als startschot voor waar je kunt beginnen als je dat nog niet gedaan hebt.

Informeren

Eén van de belangrijkste pijlers van de nieuwe wetgeving is de verplichting om de ‘betrokkene’, waar gegevens van worden vastgelegd, hierover te informeren. Het informeren moet plaatsvinden op het moment dat de data van de betrokkene wordt verkregen. Informeer diegene over welke gegevens worden vastgelegd, voor welke periode en met welk doel. Het is belangrijk om dit in een begrijpelijke taal te doen en op een logische plek neer te zetten, bijvoorbeeld het privacystatement.

Het is ook belangrijk toestemming van de betrokkene te krijgen. Dat is nu reeds het geval, maar in de nieuwe wetgeving worden hieraan extra eisen gesteld. Toestemming moet worden verkregen op moment van vastlegging. De toepassing waarvoor gegevens worden vastgelegd, moet echt specifiek zijn. Algemene termen volstaan niet. Toestemming moet met vrije wil worden gegeven en het moet een ondubbelzinnige, actieve handeling zijn. Dus geen vooraf aangevinkte hokjes.

De data die niet rechtstreeks van de betrokkene worden verkregen, moeten ook worden meegenomen. Denk bijvoorbeeld aan de data die via apparaten (internet of things) worden verzameld. De verwachting is dat de hoeveelheid data die hierdoor worden vastgelegd, exponentieel zal stijgen en een steeds groter deel zal uitmaken van wat we over een persoon weten. Ook hiervoor geldt dat de betrokkene tijdig geïnformeerd moet worden.

Check ook de huidige privacystatements. Controleer of wat daarin beschreven staat, overeenkomt met de werkelijkheid en of alle data die daarin zijn vastgelegd, ook daadwerkelijk zijn vermeld. Staan alle toepassingen van deze data vermeld of ontbreken er nog toepassingen? Zorg ervoor dat de privacystatements (weer) actueel zijn. Toets tot slot of de betrokkene redelijkerwijs kan begrijpen welke data worden vastgelegd en waarvoor deze worden toegepast. En heeft betrokkene ook, waar nodig, toestemming gegeven?

Controle

De nieuwe wetgeving geeft ook meer rechten aan de betrokkene. Dit sluit goed aan bij de behoefte van consumenten om controle te hebben over hun gegevens en wat hiermee gebeurt.

Een betrokkene heeft straks een aantal rechten, waaronder:

  • Het recht om zijn persoonsgegevens in te zien, te corrigeren of (gedeeltelijk) te verwijderen;
  • Het recht om zijn persoonsgegevens over te dragen aan derden (dataportabiliteit);
  • Het recht op bezwaar van gebruik persoonsgegevens;
  • Het recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming (inclusief profiling).

Is dit al (gedeeltelijk) ingericht? Zo nee, dan moet je aan de slag. Dat betekent het ontwikkelen van procedures rondom de genoemde rechten. Denk hierbij aan een inzageprotocol en een ‘verzoekformulier’ voor de betrokkene, inclusief een procedure om gegevens te corrigeren, te verwijderen, uit te leveren, dan wel de betrokkene uit te kunnen sluiten.

Dit alles vraagt om kennis over waar welke persoonsgegevens opgeslagen zijn. Dat hoeft niet alleen binnen de eigen organisatie te zijn, maar dit kan ook bij derden die in opdracht werkzaamheden uitvoeren. Neem bijvoorbeeld een (online)marketingbureau of een analyticsbureau. Maak ook met deze partijen afspraken. Welke gegevens kunnen zij aanleveren? Hoe voeren zij correcties door of verwijderen zij gegevens en hoe zorgen zij dat ‘betrokkenen’ worden uitgesloten?

Belangrijk is om goede en werkbare procedures te ontwikkelen. Test of ze in de praktijk werken. Wees realistisch richting de betrokkene over doorlooptijden en communiceer hierover, bijvoorbeeld in het privacystatement of op de website.

Veilig

In de nieuwe privacywetgeving worden ook eisen gesteld aan in de wijze waarop we persoonsgegevens beheren en distribueren. Nu er tegenwoordig sprake is van een meldplicht datalekken, moet men er vanuit gaan dat er vertrouwelijk met hun gegevens om wordt gegaan. Hiervoor kun je allerlei organisatorische en technische maatregelen nemen.

Bij organisatorische maatregelen kan worden gedacht aan beperkte toegang tot ruimtes waar met persoonsgegevens wordt gewerkt. Maar ook het maken van werkafspraken met medewerkers die weer te maken hebben met persoonsgegevens, zoals het locken van de pc op het moment dat iemand zijn werkplek verlaat. Technische maatregelen hebben betrekking op onder andere beveiligde omgevingen waar alleen direct betrokkenen geautoriseerd zijn om bepaalde persoonsgegevens te bekijken en/of te bewerken. Dit geldt ook voor de uitwisseling van bestanden via beveiligde verbindingen, inclusief gebruik van een wachtwoord.

Om de privacyimpact van bepaalde informatiesystemen of databestanden te bepalen, kan er een PIA (privacy impact assessment) worden uitgevoerd. Dit geeft goed inzicht in de mogelijke risico’s en stelt organisaties in staat tijdig maatregelen te nemen. In sommige gevallen zijn organisaties zelfs verplicht een PIA uit te voeren.

Mocht het onverhoopt niet goed gaan, zorg dan voor een goede procedure meldplicht datalekken. Zo kunnen enerzijds (direct) betrokkenen tijdig geïnformeerd worden en kunnen er anderzijds (indien nodig) passende maatregelen worden genomen om herhaling te voorkomen.

Bepaal welke (aanvullende) maatregelen genomen moeten worden om de veiligheid van persoonsgegevens zoveel mogelijk te garanderen. Zorg ook voor procedures voor het geval het niet goed gaat. Vergeet hierbij de medewerkers niet. Zij zijn vaak de zwakste schakel. Informeer hen over de maatregelen, wijs ze op hun verantwoordelijkheid en houdt in de gaten of ze consequent op de afgesproken wijze werken.

Aan de slag

De nieuwe privacywetgeving biedt kansen om je te profileren als transparante organisatie. Kort samengevat is het dus belangrijk dat je jezelf de volgende vragen stelt:

  • Welke persoonsgegevens leggen we vast?
  • Voor welke toepassingen gebruiken we deze data?
  • Hebben we de ‘betrokkenen’ hierover in begrijpelijke taal geïnformeerd?
  • Welke procedures hebben we rondom inzage, wijzigingen, het overdragen van persoonsgegevens en het uitsluiten van communicatie/analyse?
  • Kunnen de ‘betrokkenen’ zich hiervan eenvoudig op de hoogte stellen en, indien gewenst, gebruik maken van hun rechten?
  • Welke organisatorische en technische maatregelen hebben we getroffen, zodat veilig met persoonsgegevens wordt omgegaan?
  • Zijn de medewerkers op de hoogte, zich bewust van hun verantwoordelijkheid en handelen ze daarnaar?

Op het moment dat je deze vragen (positief) kunt beantwoorden, doe je een grote stap in de goede richting. Je bent transparant richting je klanten, zorgt goed voor hun gegevens en stelt ze in staat controle uit te oefenen op deze gegevens en het gebruik hiervan.

Denk eveneens na of het zinvol is om een data protection officer (DPO) aan te stellen. Deze persoon houdt toezicht op uitvoering en naleving van de privacywetgeving. Het is een onafhankelijke rol binnen een organisatie. De DPO maakt beleid, adviseert, is op de hoogte van de nieuwste ontwikkelingen, geeft voorlichting en is eerste contactpersoon naar andere stakeholders.

Hoewel het niet in alle gevallen verplicht is een DPO te hebben, is het wel te adviseren om hier iemand verantwoordelijk voor te maken en (deels) tijd aan te laten besteden. Hiermee staat privacy structureel op de agenda.

Als je dit goed oppakt, verander je een juridische en administratieve last in een concurrerend voordeel. Aan de slag ermee, je hebt nog minder dan een jaar!

Riens Koopman
Director Data & Insights bij Yourzine

Riens Koopman is werkzaam als Director Data & Insights binnen Yourzine. Na zijn studie Econometrie is Riens altijd werkzaam geweest op het het raakvlak van data, analyse en marketing. Hij heeft hierin verschillende functies vervuld, waaronder Managing Consultant Analytics en Director Inzicht & Campagnes. Zijn passie is om vanuit data inzichten te verkrijgen en deze te vertalen naar strategische, tactische en operationele marketing toepassingen.

Categorie
Tags

3 Reacties

    iDirk

    ​”Toets tot slot of de betrokkene redelijkerwijs kan begrijpen welke data worden vastgelegd en waarvoor deze worden toegepast.” Daar ligt volgens mij de grootste uitdaging. Is het voor een buitenstaander nog te begrijpen welke data precies verzameld wordt en waarom? Met Machine Learning/ AI kan je je zelfs afvragen in hoeverre organisaties zelf nog wel uit kunnen leggen hoe de data van klanten precies wordt gebruikt.


    27 juni 2017 om 11:18
    Jasmijn Hemersma

    Hi Riens,

    Fijn dat je een duidelijk artikel hebt geschreven over dit onderwerp. Wat ik nog nergens kan vinden in artikelen over GDPR is of je klanten waarmee je een betaalrelatie hebt en die zich nog nooit hebben uitgeschreven voor je nieuwsbrieven, nog steeds mag mailen gedurende de levensduur van je product. Weet jij hier meer over? Thanks!


    6 juli 2017 om 14:41
    rienskoopman

    Hoi Jasmijn,

    Ik vind het lastig om hier in algemene zin een ja of nee op te geven.

    Wellicht geeft dit je richting: er zijn meerdere grondslagen op basis waarvan persoonsgegevens gebruikt mag worden.

    Eén is expliciete toestemming van de betrokkene. Als met de opt-in hieraan is voldaan en deze niet is ingetrokken, mag je ze e-mail nieuwsbrieven blijven sturen. Het is wel goed om te kijken of ze überhaupt geopend en gelezen worden, anders overwegen niet meer te verzenden.

    Een andere grondslag is gerechtvaardigd belang. Dit zou kunnen gelden als er daadwerkelijk een klantrelatie is (vanwege betaalrelatie) en het voor het bedrijf gerechtvaardigd is om klanten te informeren of aanpalende producten en/of diensten te verkopen.

    Ik hoop dat dit je helpt.

    Groet, Riens


    7 juli 2017 om 11:21

Marketingfacts. Elke dag vers. Mis niks!