TOP

Nieuwe privacywet: de do’s & don’ts [analyse]

Eén privacywetgeving voor de hele EU. Vanaf 25 mei 2018 is het zover. Voor retailers heeft de nieuwe regelgeving nogal wat consequenties. Je mag nog wel persoonsgegevens verzamelen, maar je moet het ‘wat, hoe en waarom’ duidelijk vastleggen. Doe je dat niet, dan riskeer je een forse boete. Hoe goed ben jij voorbereid op de nieuwe wet?

Vanaf 25 mei geldt in de hele Europese Unie dezelfde privacywetgeving. In Nederland vervangt de Algemene Verordening Gegevensbescherming (AVG) de huidige Wet bescherming persoonsgegevens (Wbp). Iedere ondernemer krijgt ermee te maken. Het behelst zelfs een groot deel van je werkzaamheden als retailer. Je voegt persoonsgegevens van klanten toe aan een direct mailinglijst, voert deze in in het kassasysteem of je verzamelt ze via online bestellingen. Tegelijkertijd registreren wellicht camera’s wie de winkel binnenkomt en worden op je website gegevens verzameld door het plaatsen van cookies.

Grote opruiming

Wordt het verzamelen van deze gegevens verboden? Nee. Het verzamelen van persoonsgegevens mag, mits dit gegrond is, of wanneer er vooraf door de betrokkene toestemming voor is gegeven. De wet is er niet op gericht het moeilijker te maken om gegevens te verzamelen, wél om alleen de hoognodige gegevens te verzamelen en dit transparant te doen. “We zijn heel veel dingen normaal gaan vinden”, zegt Kor de Boer van LegalTech-organisatie PrivacyZeker. “De consument, maar ook de retailer zelf, staat er vaak niet bij stil welke persoonsgegevens er worden verzameld en waarom. Heb je deze echt nodig en wat gebeurt ermee? Worden ze veilig opgeslagen en hoe lang worden ze bewaard? Denk ook aan personeelsregisters en gegevens van sollicitanten.”

Advocaat Adriënne van Geel van Van Gelder Advocaten vult aan: “In die zin zorgt de nieuwe wetgeving ook voor een bepaalde opruiming. We mogen personeelsgegevens van mensen na uitdiensttreding niet meer tot in de lengte van dagen bewaren. Onder de Wpb waren hier al regels voor opgesteld. Wat verandert – geldend voor alle regels die er reeds waren – zijn de strengere regels tot naleving en transparantie. In die lijn is veel regelgeving binnen de wet vrij logisch. Ben je je eenmaal bewust van de veranderingen, dan zullen zaken als een geoliede machine lopen.”

Altijd up-to-date

Transparantie zal ook de vertrouwensrelatie met klanten en personeel versterken. De informatie is in het vervolg immers altijd up-to-date en betrouwbaar. “De kwaliteit van verzamelde gegevens zal door de AVG veel hoger liggen”, beaamt Thijmen de Coo, adviseur bij Inretail. “Met alleen relevante gegevens kun je als ondernemer gerichter targetten en de consument zal alleen informatie ontvangen waarin hij echt geïnteresseerd is. Bovendien zal de klant je transparantie waarderen en zich veiliger voelen bij het doorgeven van persoonlijke gegevens.” Ook is het goed voor je reputatie dat je op zakelijk gebied kunt tonen met en voor wie je werkt en dat je die zaken op orde hebt.


Is jouw bedrijf klaar voor de nieuwe privacywetgeving?

Eén privacywetgeving voor de hele EU. Op 25 mei 2018 is het zover. Voor elk bedrijf (klein en groot) dat klantgegevens verzamelt, heeft de nieuwe regelgeving nogal wat consequenties. Je voegt persoonsgegevens van klanten toe aan een direct mailinglijst, voert deze in in het kassasysteem of je verzamelt ze via online bestellingen. Tegelijkertijd registreren wellicht camera’s wie de winkel binnenkomt en worden op je website gegevens verzameld door het plaatsen van cookies.

Dit alles mag na 25 mei nog steeds, maar je moet wel het ‘wat, hoe en waarom’ duidelijk vastleggen. Doe je dat niet, dan riskeer je een forse boete. Geen tijd of expertise om dit zelf te doen? De online specialisten bij onze uitgeverij kunnen jou en je bedrijf helpen bij de voorbereiding op deze wet. Meer weten? Bekijk hier de mogelijkheden.


Toon je goede wil

Bedrijven kregen de afgelopen twee jaar de tijd om zich voor te bereiden. Heb je je processen, zoals de registratie van persoonsgegevens en de beveiliging daarvan, nog niet aangepast aan de nieuwe privacywet, dan is er haast geboden. De eisen zijn omvangrijk, evenals de boetes: maximaal €20 miljoen of 4 procent van de wereldwijde omzet. Hoewel de autoriteit die in Nederland toeziet op naleving van de wet, de Autoriteit Persoonsgegevens (AP), heeft aangekondigd direct te starten met controleren, wordt verwacht dat het opleggen van boetes niet zo’n vaart zal lopen.

Aangezien er nog veel onduidelijkheid is over de afspraken binnen de wet, zal het (verhoogde) budget van de AP vooral worden geïnvesteerd in meer voorlichting. Als ondernemers hun zaken niet op orde hebben, maar wel de wil aanwezig is om het goed te doen, zal er soepel worden gehandhaafd. Dit denkt ook Adriënne Van Geel. “Niet alleen bij ondernemers, ook bij werknemers is bewustwording belangrijk. Het is aannemelijk om te denken dat door hen de meeste vergissingen worden gemaakt en datalekken veroorzaakt. Gaat het toch mis – waar je zeker niet te naïef over moet zijn – dan kun je aantonen wel stappen te hebben ondernomen. Dit zal meewegen in de bepaling van de hoogte van de boete.”

Ja, ook het smoelenboek

Om de AP te tonen dat je rechtmatig persoonsgegevens verzamelt moeten handelingen worden gedocumenteerd in een verwerkingsregister. Dit mag digitaal of schriftelijk. Het register dwingt je antwoord te geven op het ‘wat, hoe en waarom’. Een opzet is online te vinden op websites als www.juridischehulponline.nl en softwarezaken.nl. Ook struikel je online over diverse (betaalde) tools die je helpen bij het opstellen van een verwerkingsregister, bijvoorbeeld op privacyzeker.nl en www.inretail.nl.

Het register is volgens Thijmen de Coo van Inretail een goed startpunt. “Het geeft ondernemers inzicht welke en hoe hij gegevens verzamelt, op welke wijze er toestemming is verkregen, waar en hoe gegevens worden opgeslagen en de procedures rondom beveiliging.” Gegevens die daarnaast onder de registratie vallen, zijn onder meer het cameratoezicht, de beveiliging van zowel gegevens als de winkel, wie in je organisatie bepaalde gegevens verwerkt en of je informatie doorstuurt aan een derde partij. En vergeet niet de privacy van personeel. “Dit zit al in simpele voorbeelden als een online smoelenboek, waar vanaf 25 mei toestemming voor nodig is. Ook vinden we het netjes om partner- en kindgegevens te noteren, maar juridisch gezien mag ook dit niet zonder toestemming”, aldus Adriënne van Geel.

Inzicht geven

Alle betrokkenen bij je organisatie moeten je beleid kunnen inzien. Hiervoor is de privacyverklaring in het leven geroepen. De klant moet deze kunnen opvragen in de winkel of vinden op de website. Voor personeel kan dit eenzelfde verklaring zijn of een privacydisclaimer in bijvoorbeeld het personeelshandboek. Inhoudelijk heeft de privacyverklaring grote overlap met het verwerkingsregister. De stijl en taal van de privacyverklaring is wel anders. Het geeft ‘leken’ inzicht in wat er met hun gegevens gebeurt en daarom moet de taal helder en eenvoudig zijn. Het recht om de eigen gegevens in te zien, te corrigeren, aan te vullen en verwijderen was in de oude privacywetgeving al geregeld en blijft onder de nieuwe wet bestaan. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven ervan. Daarnaast moet je mensen wijzen op de mogelijkheid om bij de AP een klacht in te dienen over hoe met hun persoonsgegevens wordt omgegaan.

Wie zwijgt, stemt niet toe

Vervolgens is er toestemming nodig voor het verwerken van bepaalde gegevens. Dit geldt niet voor informatie die noodzakelijk is, zoals adresgegevens voor het versturen van een bestelling. Wil je het adres gebruiken voor andere doeleinden, zoals een mailing, dan is hier wel toestemming voor nodig. En let op: onder verwerken wordt meer verstaan dan het daadwerkelijk gebruiken van persoonsgegevens. Ook bewaren, delen, verzamelen, ordenen, bekijken, analyseren et cetera is een verwerking.

De manier waarop je toestemming vraagt, moet voldoen aan een aantal eisen. Ten opzichte van de Wbp moet de toestemming specifieker en ondubbelzinnig zijn. De betrokkene moet uitdrukkelijk instemmen met de voorgestelde verwerking van persoonsgegevens. Dat doel moet helder en per specifiek worden geformuleerd. Je kunt bijvoorbeeld naar iemands locatie vragen om de afstand tot het dichtstbijzijnde filiaal te bepalen. Wil je er meer mee doen, zoals weten waar iemand woont, dan heb je een nieuwe grondslag nodig. Informatie die ‘verenigbaar’ is met oorspronkelijke doelen – bijvoorbeeld voor een doorverkoopanalyse – of die wordt geanonimiseerd, mag wel worden gebruikt. Geeft iemand geen toestemming, dan mag je deze persoon niet benadelen en ‘wie zwijgt, stemt toe’ gaat niet op.

Meldplicht datalekken

Bij een datalek denken we automatisch aan hacken van gegevens en inbreuk op systemen, maar in de nieuwe wetgeving zijn alle vormen van onbedoeld toegang tot persoonsgegevens grondslag voor datalekken. De drempel voor het melden aan de AP wordt per 25 mei 2018 verlaagd. Elk datalek moet worden gemeld, tenzij dit geen risico vormt voor de rechten en vrijheden van natuurlijke personen. Roel van der Valk van Redteam Cyber Security legt uit: “75 tot 80 procent van de datalekken zijn vergissingen. En die zijn snel gemaakt. Denk aan het rondslingeren van gegevens bij een printer of het verkeerd adresseren van een e-mail, bijvoorbeeld omdat je programma het adres automatisch aanvult. Stuur je dan een salarisstrook naar de verkeerde persoon of deel je strategische plannen, dan zijn dit datalekken die geregistreerd moeten worden.”

Als het geen risico voor natuurlijke personen oplevert, dan is melden dus niet nodig. Wel moet de volgende informatie worden bijgehouden: een omschrijving, wanneer het lek plaatsvond, wat er met de gegevens is gebeurd (ingezien, gekopieerd of verloren gegaan), van wie informatie is gelekt, de gevolgen van het lek en welke maatregelen er zijn genomen. Ook moet de persoon van wie de gegevens zijn gezien op de hoogte worden gebracht. Als er wél een risico is ontstaan, bijvoorbeeld door een hack, dan moet het lek binnen 72 uur na kennisneming worden gemeld bij de AP. “Dit is voor de autoriteit een harde deadline”, weet Van der Valk, “Zorg daarom voor een goede interne afstemming. Bijvoorbeeld voor als een incident zich ’s avonds voordoet. Iedereen binnen de organisatie moet weten wanneer er een lek is en wat er gedaan moet worden. Praat iedereen bijvoorbeeld elk kwartaal bij of wijdt een e-mail of blog op intranet aan datalekken. Maak een lijstje met aannemelijke lekken en de wenselijke reactie en oefen deze. Het is net als BHV of een ontruimingsplan, denk er goed over na en oefen af en toe. Kom je er later achter dat iets ‘onschuldigs’ toch een lek was, dan ben je mogelijk te laat.”

Datalekken-reviews

Een andere functie van het melden van datalekken is transparantie, vult Kor de Boer van PrivacyZeker aan. “De lekken worden tevens openbaar gemaakt. Het kan dus gaan werken als een review; hoeveel datalekken heeft het bedrijf waarmee je in zee wilt gaan gemeld de afgelopen jaren? Transparant voor iedereen en een reden om zelf niet hoog te scoren op dit lijstje.” Maak jezelf ook niet te bang, besluit Van der Valk. “Als je vijftig sloten op een deur zet, dan is de functie van de deur verdwenen. Iedereen in je bedrijf laten inloggen om bij gegevens te komen, kan zonde zijn van je middelen. Inventariseer bij het maken van je registers welke informatie het meest gevoelig is en denk na (plus registreer) hoe je deze gaat beveiligen. Weet je niet zeker of je software en organisatie veilig zijn, denk dan aan externe toetsing. Denk logisch na over de professionaliteit van je beveiliging, wie je inhuurt voor klussen en het trainen van personeel. Er kan zo veel onzorgvuldigheid worden voorkomen.”

Hulp en begeleiding

Heb je je ingesteld op de basisprincipes van de AVG: grondslag voor het verwerken van persoonsgegevens, het registeren van je beleid, de informatieplicht aan betrokkenen en de beveiliging van systemen, dan ben je voorlopig veilig voor de AP. Zo niet, dan is het tijd voor actie. Er zijn veel privacyorganisaties, juristen en brancheorganisaties die helpen bij het opstellen van de benodigde registers. Zoals de tool van Inretail die ondernemers in vijftien stappen meeneemt door de AVG-wetgeving. Thijmen de Coo: “Maak gebruik van de AVG-kennis die je brancheorganisatie in huis heeft.” Kor de Boer van PrivacyZeker besluit: “Wij geloven niet dat alleen het nalopen van een stappenplan helpt. Je hebt begeleiding en op z’n minst een helpdesk nodig. Het is complexe materie en veel ondernemers hebben hier – terecht – geen kaas van gegeten. Bovendien is alles zelf doen enorm tijdrovend. Schroom daarom niet een gespecialiseerd bedrijf in te schakelen dat het werk voor je verzet en wanneer nodig de gegevens updatet.”

Foto: Ed Gregory via stokpic.com