4 tips om te voldoen aan de nieuwe privacywetgeving AVG (GDPR)

april 18, 2018 | Tim Stribos | ,

4 tips om te voldoen aan de nieuwe privacywetgeving

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming van kracht. De zogenoemde AVG (GDPR afgekort in het Engels) is voor veel bedrijven bijzonder ingrijpend. Het niet opvolgen van deze verordening die draait om het gebruik van data levert je namelijk flinke boetes op. Deze vier tips laten je met data werken volgens de nieuwe privacywetgeving – en voorkomen de torenhoge boetes.

 

De kans is groot dat je te maken krijgt met deze nieuwe, Europese privacywetgeving. Je verzamelt waarschijnlijk de gegevens van jouw klanten of volgers, zodat je een idee hebt van hun behoeften of gedrag. Hierdoor zijn je marketinginspanningen efficiënter en kun je additionele verdienmodellen ontwikkelen.

Verwerk je persoonsgegevens, dan heb je vanaf 25 mei te voldoen aan nieuwe wetgeving. Allereerst gaat het om een verantwoordingsplicht: je moet (met documenten) aantonen dat er organisatorische en technische maatregelen worden genomen om aan de nieuwe wet te voldoen. Daardoor hoeft het verwerken van persoonsgegevens niet meer gemeld te worden bij de Autoriteit Persoonsgegevens. Mogelijk ben je wel verplicht om een Data protection impact assessment (DPIA) uit te voeren en/of een functionaris voor de gegevensbescherming (FG) aan te stellen. Doe je dat niet, dan riskeer je een boete van maximaal twintig miljoen euro of een boete ter hoogte van vier procent van de wereldwijde omzet (!). Onderstaande tips helpen je om zo’n boete te voorkomen.

1: Houd rekening met data in het ontwerp van technische toepassing

Voordat je een nieuwe site of app ontwikkelt, is het zinnig om je al eens te bezinnen op de implicaties van de AVG. Dat doe je bijvoorbeeld door een datamodel te ontwerpen, dat het makkelijker maakt om te werken volgens de richtlijnen van de AVG. Een goed datamodel maakt het makkelijk om te zien hoe persoonsgegevens in de database terechtkomen en maakt het gemakkelijker om hier wijzigingen in aan te brengen. Ook het veilig (en dus anoniemer) opslaan van gegevens wordt hierdoor makkelijker.

 

Vroeger sloegen bedrijven bijvoorbeeld de e-mailadressen op in eenzelfde sheet als waar de andere informatie te vinden is. Dat moet, gezien de nieuwe data-wetgeving, op een meer anonieme manier gebeuren. Daarom sla je die gegevens apart op. Dit, en andere voortvloeiselen van de AVG, wil je op een gemakkelijke manier organiseren. Tegelijkertijd moet het voor de klant of gebruiker ook gemakkelijker zijn om te controleren waar zijn of haar data is of voor gebruikt wordt. Een datamodel maakt dat mogelijk.

2: Maak een dataportaal

De nieuwe data-wetgeving zorgt ervoor dat het nodig is om aan burgers uit te leggen welke data je verzamelt, waarom je dat doet en wanneer je die data weer zult verwijderen. Investeren in een technische oplossing die dat probleem in een keer oplost, is dan ook nuttig en bijzonder aan te raden.

 

In feite wil je de consument zoveel mogelijk ontzorgen. Dat doe je door het opvragen van de gegevens zo gemakkelijk mogelijk te maken. Dat kan bijvoorbeeld via een portaal, waarin direct alle gewenste informatie inzichtelijk is.  Ook de overdraagbaarheid van data is een issue binnen de AVG, wat middels een portal natuurlijk makkelijker gemaakt wordt. Het biedt jouw bedrijf ook concrete voordelen: hierdoor hoef je niet telkens per geval uit te leggen welke gegevens er verzameld zijn en kan de gebruiker zelf controle bieden over zijn data. Hiervoor is het nodig om je tijdig bewust te zijn van de implicaties van de AVG.

3: Functionaris voor de gegevensbescherming (FG)

Veel organisaties zijn vanaf 25 mei verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit geldt met name voor publieke organisaties, organisaties die als kernactiviteit grotere aantallen individuen volgen en organisaties die als kernactiviteit persoonsgegevens van mensen bewaren of verwerken. Deze FG houdt zich bezig met het houden van toezicht, het maken van inventarisaties van gegevensverwerkingen, bijhouden van meldingen van gegevensverwerkingen, het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. Ook zal hij of zij zich richten op het ontwikkelen van interne regelingen en helpen een gedragscode op te stellen.

 

Een FG is niet alleen verplicht voor veel organisaties, maar biedt ook een aantal concrete voordelen. Het voldoen aan wetgeving is geen horde die je maar een keer hoeft te nemen. Een organisatie hoort altijd te voldoen aan wetgeving. Daarom is het prettig en zinnig als er intern (of extern) iemand aangewezen is om zich daar druk om te maken. Hij of zij onderstreept het belang van de nieuwe wetgeving, waardoor deze niet uit het oog verloren wordt.

4: Geef iets terug

Ga je na 25 mei gegevens van gebruikers verwerken, dan moeten ze hiervoor expliciet toestemming geven. Organisaties moeten (zodra de nieuwe wet ingaat) duidelijk maken wat ze met de gegevens gaan doen en verklaren dat gegevens niet langer bewaard gaan worden dan nodig is. Dit vraagt om een update van je systeem, een nieuwe inrichting van je database, maar in feite ook om een compleet nieuwe mindset.

Zodra de AVG van kracht wordt, zullen consumenten zich een stuk kritischer gaan opstellen. Waarom wil jij, als organisatie, gebruik maken van de data? Zorg dan ook dat je een duidelijke meerwaarde biedt, als je iemands data verlangt. Geef iets terug. Dat kan toegang tot content of een community zijn, een makkelijkere inlog-mogelijkheid of een ander voordeel. Consumenten zullen hun data waarschijnlijk niet meer ‘zomaar’ delen. Dat vraagt om het besef dat je er iets voor zult moeten doen.

Conclusie

We hopen dat je met deze vier tips aan de slag kunt zodat je goed voorbereid bent op de nieuwe privacywetgeving. Mocht je nog vragen hebben over de AVG of de tips uit dit artikel, dan kan je contact met ons opnemen via ons contactformulier.