De digitale wereld is constant aan het veranderen en ontwikkelen. Dat is spannend en interessant, vooral voor de online marketing. Het is echter ook de voornaamste reden dat de wetgeving rond persoonsgegevens toe is aan een update. De Europese Commissie en het Europees Parlement hebben besloten dat de huidige wetgeving niet meer aansluit op de ontwikkelingen in de digitale wereld. Per 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming in.
Van WBP naar AVG
Tot nu toe baseerden landen binnen de EU hun wetgeving voor bescherming van persoonsgegevens op de richtlijnen van de Europese Unie. Gebaseerd op Richtlijn 95/46/EG. Op 25 mei 2016 is een nieuwe Europese regelgeving in werking getreden: de Algemene Verordening Gegevensbescherming (AVG). Op 25 mei 2018 zal deze verordening echt ingaan. Dan moet iedereen binnen de EU zich aan deze Europese regelgeving gaan houden. De nationale wetgeving (Wet Bescherming Persoonsgegevens en Wet basisregistratie persoonsgegevens in Nederland) is dan niet langer van kracht.
Dat betekent dat we op dit moment in een fase zitten waarin organisaties zich kunnen voorbereiden op de nieuwe situatie. Tot 25 mei 2018 is de WBP en de Wbrp nog van toepassing. In deze blog leggen wij je uit wat er nu precies gaat veranderen en hoe je je kunt voorbereiden op de nieuwe regelgeving. Vooral voor organisaties die persoonsgegevens verzamelen kan er namelijk nogal wat verandering nodig zijn om aan de nieuwe wetten te voldoen.
Wat verandert er?
De grootste veranderingen waar je rekening mee moet houden als de AVG in 2018 ingaat, zijn:
1. Privacyrechten van mensen worden versterkt en uitgebreid
- In de AVG wordt bijvoorbeeld beschreven wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Organisaties moeten kunnen bewijzen dat zij geldige toestemming hebben gekregen. Daarnaast moeten mensen die toestemming ook weer kunnen intrekken.
- Mensen krijgen het recht om hun persoonsgegevens te laten verwijderen bij een organisatie (recht om vergeten te worden).
- Ook krijgen mensen het recht om (onder bepaalde voorwaarden) hun persoonsgegevens in een standaardformaat op te vragen. Om ze zo eenvoudig door te kunnen sturen aan eenzelfde soort leverancier, bijvoorbeeld een social media netwerk.
2. Organisaties krijgen zelf meer verantwoordelijkheden
Organisaties die persoonsgegevens verwerken worden door de AVG verantwoordelijk gesteld om aan te kunnen tonen dat zij zich aan de wet houden. Zo is er een documentatieplicht, wat inhoudt dat ze met documenten moeten kunnen aantonen dat ze de juiste maatregelen hebben genomen om aan de nieuwe regelgeving te voldoen. De AVG biedt organisaties ook gereedschap voor het naleven van de wet, zoals modelbepalingen voor doorgifte van persoonsgegevens.
Onder die verantwoordelijkheden vallen de volgende gevolgen:
- Organisaties hoeven niet langer de verwerkingen van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Ze moeten zelf een overzicht bijhouden van al hun verwerkingen van persoonsgegevens.
- Organisaties kunnen verplicht worden een Privacy Impact Assessment uit te voeren.
- Ook kunnen organisaties verplicht worden een functionaris voor de gegevensbescherming aan te stellen.
- In de WBP stond in artikel 24 nog een verbod op de verwerking van identificatienummers (zoals het BSN). Dat wordt in de AVG opgeheven, wat inhoudt dat voortaan het gebruik van identificatienummers vrijer geoorloofd is. Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik hiervan.
3. In alle EU-landen dezelfde regelgeving omtrent bescherming persoonsgegevens
Bevoegdheden worden voor alle Europese privacytoezichthouders hetzelfde. Ze krijgen bijvoorbeeld allemaal de bevoegdheid om boetes op te leggen (tot 20 miljoen euro, of 4% van de algemene jaaromzet).
- In tegenstelling tot richtlijn 95/46/EG, waarop de huidige richtlijnen binnen de EU gebaseerd zijn, is de AVG een verordening en niet slechts een richtlijn. Dat betekent dat de AVG rechtstreeks geldig is, en in alle EU-landen gelijk.
- Lokale overheden kunnen de wetgeving aanpassen aan de eigen behoeftes omtrent de bescherming van persoonsgegevens. Denk dan aan de Autoriteit Persoonsgegevens of wellicht de betrokkenheid van meerdere instanties.
- Voor organisaties die niet in de EU gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of het gedrag van individuen binnen de EU monitoren, geldt de AVG ook.
Hoe bereid je je hierop voor?
De hierboven genoemde veranderingen in de regelgeving vragen nogal wat van een organisatie die persoonsgegevens verzamelt, beheert en gebruikt. Tot mei 2018 heb je de tijd om te gaan voldoen aan deze nieuwe regelgeving. Denk aan de volgende processen:
- Zorg voor een goed overzicht van de soorten en hoeveelheden persoonsgegevens die je organisatie bijhoudt. En op welke manier jullie dat doen.
- Wees voorbereid op datalekken: weet welke stappen er moeten worden genomen bij een (vermoeden van een) datalek-incident.
- Controleer of het nodig is om een Functionaris Gegevensbescherming (ook wel Data Protection Officer of Privacy Officer) aan te stellen. Voor organisaties die bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerken wordt dat in ieder geval verplicht.
- Bevat je organisatie meer dan 250 medewerkers, of wordt er gevoelige data verwerkt? Maak dan een register aan waarin verschillende verwerkingen binnen de organisatie wordt bijgehouden, inclusief het doel, de grondslag en de genomen beveiligingsmaatregelen.
- De privacyverklaring van je organisatie moet voortaan veel meer gedetailleerde informatie bevatten dan tot nu toe verplicht was. Daarnaast moet hij in begrijpelijke taal worden geschreven.
- Controleer goed de overeenkomsten met hosting- en cloudproviders en andere leveranciers die persoonsgegevens moeten verwerken. In deze overeenkomsten moet veel meer vastgelegd zijn dan tot nu toe werd voorgeschreven.
- Heb je al een intern beleid over het uitvoeren van een Privacy Impact Assessment (PIA)? Als er door de nieuwe manier van verwerken een groot risico voor de privacy van personen kan ontstaan, moet er eerst een onderzoek worden gedaan naar de privacy-effecten. Pas dan kan een nieuwe techniek gebruikt worden voor het verwerken van persoonsgegevens of het koppelen van gegevensbronnen.
Revenue Creative
Met nog iets minder dan een jaar te gaan hopen we je met deze tips een stuk op weg te hebben geholpen om aan de nieuwe regelgeving te gaan voldoen. Het verzamelen van persoonsgegevens is een erg waardevolle maar ook gevoelige bezigheid waar we zorgvuldig mee om moeten gaan. Op die manier blijft online marketing een fascinerend en uitdagend vak!
Revenue Creative levert business value door mee te denken vanuit de ondernemers-, sales- en marketingdoelstelling. Wij adviseren B2B klanten over hun (digitale) sales- en marketingstrategie en de organisatorische impact daarvan. Ons hybride team zorgt voor ondersteuning bij de uitvoering van de digitale verbeteringen en het behalen van de marketing- en salesdoelstelling. www.revenuecreative.nl.