GDPR voor beginners

Lorenz van Gool

Een tikkende tijdbom, een grote schoonmaak. Een sta-in-de-weg, een noodzakelijk kwaad. De GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) kent talloze negatieve vergelijkingen. Eigenlijk is dat niet zo vreemd, want de materie is niet eenvoudig. Tijd dus voor een compleet en duidelijk overzicht. Wat is GDPR precies?

Wat is GDPR?

De GDPR is de nieuwe Europese privacywetgeving die op 25 mei 2018 van kracht gaat. GDPR of AVG zal de Wet bescherming persoonsgegevens (Wbp) uiteindelijk vervangen. Het doel van de GDPR-regeling is dat er een verschuiving optreedt in de denkwijze en praktische aanpak van bedrijven rondom data en privacy van consumenten. Het verwerken en opslaan van persoonsgegevens gaat flink veranderen.

Over het algemeen kan gezegd worden dat de GDPR veel breder is dan de Wbp. Elk bedrijf in Nederland, van multinational tot MKB (en ook zzp’ers!), van B2C tot B2B, zal uiteindelijk aan deze wetgeving moeten voldoen. In een notendop:

  • (Marketing)activiteiten zullen sneller onder deze privacywetgeving vallen;
  • Er moet flink aan transparantie gewerkt worden: bedrijven moeten verantwoorden waarom ze bepaalde gegevens verzamelen;
  • Marketeers zullen meer om toestemming moeten vragen, in meer duidelijke taal;
  • Ook doet de geografische locatie van bedrijven er meer (en tegelijkertijd minder) toe: elk bedrijf, waar ook ter wereld, zal moeten voldoen aan GDPR als zij data verwerken van burgers uit EU-lidstaten;
  • Bedrijven moeten kunnen aantonen dat ze aan de regelgeving voldoen (verantwoordingsplicht);
  • Bedrijven moeten mogelijk privacyrisico’s in kaart brengen middels een data protection impact assessment (DPIA) – lees hier wanneer je een DPIA moet uitvoeren.

Voldoe je niet aan de nieuwe regels, dan zijn torenhoge boetes het gevolg. Deze kunnen oplopen tot wel 20 miljoen euro of 4 procent van de jaaromzet, afhankelijk welk bedrag hoger is. Ter vergelijking: als de Wbp werd overtreden, was de boete maximaal 900.000 euro. Omdat er uiteraard nog geen jurisprudentie over deze nieuwe boetes bestaat, is het lastig in te schatten hoe dit in de praktijk gaat werken.

Common sense

GDPR is samengevat in een fors boekwerk aan regels. Niet iedereen begrijpt die juridische taal, en dus doet de EU een flink beroep op het boerenverstand van bedrijven die onder GDPR vallen: de concrete invulling is in veel gevallen (nog) niet helemaal duidelijk.

Dit alles zorgt ervoor dat er veel onzekerheid onder bedrijven heerst. De ePrivacy-wetgeving – een aanvullende wetgeving bovenop GDPR, die duidelijke en concrete acties rondom het gebruik van cookies en opt-out opties heeft – zou dit kunnen wegnemen. Het Europees Parlement heeft hier onlangs mee ingestemd, maar de regelgeving en de invulling daarvan is nog niet definitief. In een ideale wereld gaat deze verordening tegelijk met GDPR van kracht (op 25 mei 2018).

Voorlopig tast je dus nog eventjes in het duister. Maar met common sense kom je een heel eind. Wij geven je een aantal handvatten.

De EU doet eigenlijk een flink beroep op het boerenverstand van bedrijven

GDPR: de regels

De belangrijkste regelingen op een rij, volgens Splend:

1. Data protection by design

Dit is de belangrijkste regel, want het zorgt meteen voor de juiste mindset binnen je bedrijf. Hier begint het allemaal mee. Data protection (of privacy) by design houdt in dat je bij het ontwerp van een product of de start van de inrichting van je organisatie al ‘rekening houdt’ met de bescherming van persoonsgegevens. Dit moet kort door de bocht ‘in het DNA’ van je bedrijf zitten. Dit is uiteraard een vage richtlijn en hierover zijn geen concrete stappen in de wetgeving te vinden – maar het Privacy by Design Framework (download pdf-bestand), mede mogelijk gemaakt door SIDN, geeft uitstekende richtlijnen voor je bedrijf.

2. Consumenten krijgen meer rechten

Beduidende informatie voor elk bedrijf: het recht van consumenten (en ieder ander persoon!) om meer grip te krijgen op zijn eigen data, wordt uitgebreid. Je zal veel vaker toestemming van ze nodig hebben (“consent”).  Het moet in alle gevallen helder zijn wat er met hun data gebeurt, wie de data gebruikt en hoe vaak ze een bepaald gevolg kunnen verwachten, als ze deze toestemming hebben verleend.

The right to be forgotten geldt nu veel breder, vergeleken met de Wbp. Het recht op vergetelheid hield in dat informatie gewist moet worden, als deze objectief onjuist, onvolledig of niet ter zake doende was. Nu moeten verwerkers van persoonlijke data dit in sommige gevallen al wissen, als degene van wie de data verwerkt wordt, daar om vraagt. Dit moet binnen een maand afgehandeld zijn.

Ook hebben consumenten het recht om hun eigen data op te vragen, op te slaan en te delen met andere partijen (bijvoorbeeld bij een overstap van telecomprovider) – dit heet de ‘portabiliteit’ van data.

Voor de opslag van data van personen onder de 16 jaar is bewijsbaar toestemming nodig van ouders. Hoe dit precies tot stand kan komen, is nog niet duidelijk.

3. Stel een verwerkersovereenkomst op

Deze regel is zeker voor marketing van belang. Grote kans dat je werkt met derde partijen die data verwerken, denk aan tools als Mailchimp, je hostingpartij of je favoriete marketing- en communicatiebureau. De verwerkersovereenkomst moet al in de Wbp nagestreefd worden, maar is straks nog strenger. De verwerker heeft namelijk geheimhoudingsplicht, moet bijdragen aan de beveiliging en pseudonimisering van data, helpt bij het melden van datalekken en het uitvoeren van een mogelijk DPIA.

Je kan eventueel in de overeenkomst opnemen dat er gebruik gemaakt kan worden van subverwerkers. De verwerker blijft dan verantwoordelijk. Je kan hier meer over vinden op de website van de AP.

4. Benoem een ‘data protection officer’

Een interne datapolitie klinkt wat rigoureus, maar het scheelt niet veel: de GDPR schrijft in de meeste gevallen de aanstelling van een ‘data protection officer’ of ‘functionaris gegevens’ (FG) voor. Deze persoon moet toezien op het naleven van de GDPR. Dit kan een intern aangewezen persoon met genoeg kennis over IT en recht zijn, of dit kan een externe persoon zijn. Deze regel moet er vooral voor zorgen dat er minder gemeld hoeft te worden, maar meer intern gelogd en gemonitord. Het is een belangrijk deel van de regeling die beroep doet op de verantwoordelijkheid van bedrijven.

Bedrijven of instellingen die sowieso een FG moeten aanwijzen:

  • Overheidsinstanties en publieke organisaties, met uitzondering van rechtbanken;
  • Organisaties die ‘vanuit hun kernactiviteiten op grote schaal individuen volgen’;
  • Organisaties die als ‘kernactiviteit op grote schaal persoonsgegevens verwerken’.

Het is dus niet in alle gevallen duidelijk of je een FG moet aanwijzen, maar als IT-bedrijf is dit zeer aannemelijk. Hier komt common sense weer om de hoek kijken. De voorzitter van de Autoriteit Persoonsgegevens (AP), Aleid Wolfsen, zei namelijk tijdens het ECP Jaarcongres 2017 het volgende: “Bij klachten van consumenten kijken we meteen of u een FG heeft en of u een register van opgeslagen data heeft samengesteld. Het is normaal voor een bedrijf dat de financiën op orde zijn, en dat geldt ook voor data.” Meer informatie hierover vindt u op de website van Autoriteit Persoonsgegevens.

De komst van GDPR of AVG betekent dus dat er flinke veranderingen in je organisatie gaan optreden. Maar wat betekent het concreet voor jouw marketingdoeleinden? Dat lees je in de blog ‘GDPR: Wat verandert er voor je marketing?

Blijf als B2B marketeer compliant aan de GDPR. Lees snel onze whitepaper.

Afbeelding: Ramdas Ware via Pexels

Plaats een reactie