De nieuwe Algemene Verordening inzake Gegevensbescherming (General Data Protection Regulation) treedt op 25 mei 2018 in werking. De bijbehorende regels zijn van toepassing op alle bedrijven en organisaties die persoonsgegevens verwerken in de EU. Voor u als ondernemer is het dus belangrijk dat u de juiste processen in werking heeft gesteld zodat u persoonlijke gegevens correct verwerkt. In dit artikel geven we u een overzicht van de belangrijkste aspecten van de nieuwe Algemene Verordening Gegevensbescherming en hoe u daar in uw onderneming mee om moet gaan. Ook is er een korte checklist die u kunt overlopen zodat u voor mei 2018 voldoet aan de wetgeving rondom de AVG.
Wat betekent GDPR?
Er zijn verschillende redenen voor het besluit van de EU om de nieuwe Algemene Verordening Gegevensbescherming (GDPR) te implementeren. Zo is het ethisch verantwoord; u wilt natuurlijk de privacy van uw klanten beschermen. Daarnaast speelt ook de economie een grote rol. De EU verwacht namelijk dat het invoeren van deze regelgeving zal leiden tot meer consumentenvertrouwen in de (online) markt. Dit zou dan weer leiden tot de groei van de internationale handel.
Is het belangrijk om GDPR te volgen?
Als u niet voldoet aan de regels van de GDPR zult u door de EU op de vingers worden getikt. Hoewel een bedrijf in bepaalde gevallen alleen een waarschuwing kan krijgen, kan een bedrijf ook een boete krijgen in het geval van ernstige en herhaalde niet-naleving van de regelgeving. Deze boete kan oplopen tot €20 miljoen of 4% van de jaarlijkse omzet. Ook kan het resulteren in een geforceerde sluiting van uw onderneming.
Op wie heeft het invloed?
De wetgeving heeft betrekking op alle bedrijven – groot, klein, en alles daartussenin. Ook hebben de regels niet alleen te maken met informatie over klanten of zakelijke partners, maar ook werknemers. Dit betekent dus dat alle bedrijven op een of andere manier beïnvloed worden. Wel heeft de verordening vooral invloed op bedrijven die continu gegevens verzamelen of gevoelige gegevens behandelen. Daar komen we later nog op terug.
Aangezien u dus sowieso met deze verordening te maken krijgt, is het belangrijk dat u op de hoogte bent van uw huidige procedures en zo snel mogelijk de noodzakelijke wijzigingen doorvoert. Hieronder volgt een overzicht van hoe u ervoor kunt zorgen dat u in uw bedrijf bent voorbereid op de wijzigingen die horen bij de EU GDPR.
Controleer uw huidige database
Bekijk en documenteer welke informatie u al heeft opgeslagen en wat voor soort informatie dit is. De grondslag van de GDPR is namelijk dat het niet meer toegestaan is om persoonlijke gegevens te bewaren. Dit betekent niet dat er absoluut geen gegevensverzameling meer mogelijk is, maar de motieven hiervoor moeten ondersteund worden door de wet. Laten we kijken wat dit inhoudt:
Relevantie van de gegevens
Veel bedrijven hebben historische werknemers- en klantgegevens die alleen stof vangen in het (digitale) archief. Volgens de nieuwe verordening mogen persoonlijke gegevens niet langer dan noodzakelijk bewaard worden, wat betekent dat u informatie over voormalige werknemers en klanten van het bedrijf moet verwijderen. Heeft u nog verplichtingen tegenover een betrokken persoon? Dan geldt hierop een uitzondering.
De aard van de gegevens
Het is ook belangrijk om een onderscheid te maken tussen de soort gegevens die opgeslagen en verwerkt worden. Zo maakt de EU GDPR onderscheid tussen “persoonlijke gegevens” en “gevoelige persoonlijke gegevens”. Het verwerken van gevoelige persoonlijke gegevens is verboden, tenzij de behandeling van dit soort gegevens van cruciaal belang is voor uw bedrijf. Hierbij kunt u denken aan een zorgbedrijf dat patiëntendossiers verwerkt.
Gegevens met betrekking tot de volgende zaken worden als gevoelig beschouwd:
- Afkomst
- Religie
- Lidmaatschap van vakbonden
- Politieke overtuigingen
- Gezondheid
- Seksualiteit
Als uw bedrijf gevoelige gegevens verwerkt die in één of meer van de bovenstaande categorieën vallen, is een strengere privacy vereist. Gevoelige gegevens die niet relevant zijn voor uw bedrijf mogen niet langer worden bewaard.
Wanneer is het legaal om persoonlijke informatie te verwerken?
Toestemming
U kunt persoonsgegevens verwerken als de betrokken persoon hiervoor toestemming heeft gegeven. Om ervoor te zorgen dat toestemming als geldig wordt beschouwd, moet u de persoon duidelijk informeren welke informatie wordt verzameld, welke informatie wordt verwerkt, en waarvoor de informatie wordt gebruikt. Ook moet het mogelijk zijn om na het instemmen van mening te veranderen en de toestemming terug te draaien. U moet de persoon dan ook informeren hoe hij of zij dit moet doen.
De EU geeft geen nauwkeurige beschrijvingen van de manier waarop toestemming moet worden verleend, maar het belangrijkste is dat het op een duidelijke manier wordt gedaan waardoor geen misverstanden kunnen ontstaan. Alleen door een tekst scrollen die deze informatie geeft is niet meer voldoende. Een knop waarmee u expliciet om toestemming vraagt daarentegen, is genoeg. Ook moet u ervoor zorgen dat de informatie die tot goedkeuring leidt, direct beschikbaar is én makkelijk te begrijpen is – complexe begrippen moeten dus worden vermeden.
Het is niet genoeg dat een persoon ermee instemt om de gegevens op te slaan. U moet ook een bewijs van toestemming opslaan. De EU geeft wel vrijheid in het ontwerpen van systemen die dit als functie hebben. De belangrijkste richtlijn hier is dat het opslaan van de toestemming niet leidt tot meer gegevensopslag voor u.
Overeenkomst
Een andere geldige reden voor het verwerken van persoonlijke gegevens is als u een overeenkomst heeft met de persoon. Denkt u hierbij aan een arbeidsrelatie of facturering. De regels van de EU GDPR bepalen opnieuw dat alleen de informatie die nodig is om aan de afspraken te voldoen opgeslagen mag worden.
Wettelijke verplichting
In sommige gevallen is een bedrijf wettelijk verplicht om bepaalde gegevens te verwerken. Een voorbeeld hiervan is de betaling van belastingen of werkgeverskosten. In dit geval heeft u als werkgever dus informatie nodig zoals thuisadressen.
Bescherming van vitale informatie
Sommige gegevens zijn vereist om de veiligheid van een persoon te waarborgen. In dit geval kunt u toestemming hebben om persoonlijke gegevens op te slaan of te verwerken. Dit kan bijvoorbeeld als u een medewerker heeft met een levensbedreigende allergie.
De belangenafweging
Weegt het belang van de organisatie om gegevens te verzamelen zwaarder door dan het belang van een individu om anoniem te blijven? In een dergelijke situatie kan de verzameling van persoonlijke gegevens gerechtvaardigd zijn. Dit is gebaseerd op de zogenaamde belangenafweging. Hoe dit te werk gaat is enigszins vaag en om die reden kunt u het beste een expert inschakelen om te kijken of u in “compliance” bent met de EU GDPR.
Maak een register voor de algemene verordening gegevensbescherming
De nieuwe wet AVG vereist dat bedrijven die continu gegevens verzamelen een register aanmaken voor de verwerking van de gegevens. In een dergelijk register moet u de doeleinden van de verwerking vermelden, de categorieën persoonsgegevens die u verzamelt en mogelijke termijnen voor het wissen van de verzamelde gegevens. Ook moet u hier externe ontvangers van de gegevens registreren en het land waarin zij zich bevinden.
Voor de volledige regel- en wetgeving verwijzen wij u graag door naar de handleiding algemene verordening gegevensbescherming van het ministerie van justitie en veiligheid.
Bent u op zoek naar nieuwe klanten?
Het winnen van nieuwe klanten kan tijdrovend zijn, dus helpen wij u graag. Laat de klantenwerving maar aan ons over. Op ons platform kunt u een groot aantal opdrachten van potentiële klanten terugvinden – het is gemakkelijk en bespaart u veel tijd. Registreer vandaag nog voor onze demoversie en bekijk live alle lopende zaken.
Geef een reactie