Nieuwe Privacy Wetgeving: Wat houdt het in?

Het komt steeds dichterbij! Vanaf 25 mei 2018 zal de wet ‘Algemene Verordening Gegevensbescherming’ (AVG) ingaan, als vervanger van de ‘Wet Bescherming Persoonsgegevens’. In de AVG staan alle regels over het verzamelen en verwerken van persoonsgegevens. Is jouw website er al klaar voor? Zo niet, dan helpen wij je graag op weg.

Wat houdt het in?

De wet ‘Algemene Verordening Gegevensbescherming’ heeft betrekking op verschillende onderdelen binnen jouw bedrijf. De invoering van de nieuwe regels zal daarom het beste verlopen wanneer je er een multidisciplinair proces van maakt. Roep je collega’s van de afdelingen IT, Juridische zaken en Marketing bij elkaar en maak samen een plan van aanpak. Om je een zetje in de goede richting te geven, hieronder de belangrijkste veranderingen en tips om deze door te voeren.

1. Maak je privacy statement begrijpelijk

Je privacy statement moet voor iedereen leesbaar en begrijpelijk zijn. Gebruik geen woorden die je doelgroep niet kent en hou het zo simpel mogelijk. Zorg er daarnaast ook voor dat je privacy statement eenvoudig te vinden is via je website en dat er naar verwezen wordt op alle pagina’s waar om persoonsgegevens wordt gevraagd.  

Tip:

Voer de tone of voice die je op je website gebruikt ook door in je privacy statement. Je doelgroep moet direct kunnen begrijpen wat er staat.

2. Vraag specifiek om toestemming

Momenteel wordt er door veel bedrijven niet nadrukkelijk om toestemming gevraagd voor de verwerking van persoonsgegevens. Vanaf 28 mei is dit niet meer toegestaan. Bezoekers moeten door middel van een duidelijke handeling of verklaring toestemming geven tot de verwerking van zijn/haar persoonsgegevens. Een verwijzing naar de beveiligingsinstellingen is hiervoor niet meer genoeg. Daarnaast moet de bezoeker zich net zo makkelijk kunnen afmelden als aanmelden.

Wanneer de bezoeker zijn/haar persoonsgegevens niet meer met jou wil delen, ben je verplicht deze te verwijderen uit je database. Dit wordt ook wel ‘het recht om vergeten te worden’ genoemd. Verder heeft de bezoeker door de nieuwe wetgeving ook recht op een modelbepaling. Dit houdt in dat bezoekers het recht hebben om hun persoonsgegevens in een standaard schema op te vragen.

Tip:

Kijk of je cookie opt-in voldoet aan de nieuwe eisen en pas deze zonodig aan.

cookiepopup

3. Verwerk privacy in het ontwerp van je website

De persoonlijke gegevens van de bezoeker mogen nooit standaard openbaar zichtbaar zijn. Wanneer je klant dus op jouw website een profiel aanmaakt, mag deze niet gelijk geïndexeerd worden door Google. Hiervoor moet de bezoeker eerst toestemming geven. Dit wordt ook wel ‘privacy by default’ genoemd. Het verplicht je de standaardinstellingen van je website altijd zo privacy-vriendelijk mogelijk te maken.

Ook wordt er van jou als bedrijf verwacht dat je in de ontwerpfase van je website al rekening gaat houden met privacy. Dit wordt ook wel ‘privacy by design’ genoemd. Door hier in de ontwerpfase al rekening mee te houden, zal de privacy gebruikerservaring van de bezoeker verbeteren. Op welke plekken kan de bezoeker de privacy statement vinden? Moet de bezoeker moeite doen om zichzelf aan of af te melden?

Tip:

Ga na in hoeverre er binnen jouw bedrijf in de ontwerpfase rekening is gehouden met privacy. 

4. Voer een DPIA uit

De Algemene Verordening Gegevensbescherming verplicht bepaalde organisaties een DPIA uit te voeren. Dit staat voor Data Protection Impact Assessment. Wat houdt dit precies in? Met een DPIA breng je de privacyrisico’s van je gegevensverwerking in kaart. Dit hoef je alleen te doen als jouw bedrijf op grote schaal mensen volgt of bijzondere persoonsgegevens verwerkt.

Bijzondere persoonsgegevens zeggen iets over:

  • Gezondheid
  • Ras
  • Godsdienst
  • Strafrechtelijk verleden
  • Seksuele leven
  • Politieke opvattingen
  • Lidmaatschap van een vakvereniging
Type bedrijven die een DPIA moeten uitvoeren:

  • Ziekenhuizen
  • Verzekeringsmaatschappijen
  • Banken
  • Zoekmachines
  • Telefoon- of internet providers
  • Camera toezicht houders
  • Profiling bedrijven

Tip:

Moet jouw bedrijf een DPIA uitvoeren? Kijk eerst op welke verschillende manieren je dit allemaal kan doen.

5. Overige veranderingen

Naast de eerder genoemde veranderingen ben je vanaf 28 mei 2018 ook verplicht tot het hebben van een verwerkingsovereenkomst, het aanstellen van een functionaris gegevensbescherming en heb je een documentatieplicht. Lees hierover meer op de website van de Autoriteit Persoonsgegevens.

E-Privacy Verordening

In de AVG staan geen regels over marketingkanalen die gebruik maken van elektronische communicatie (e-mail, telemarketing, social media, etc). De Europese Commissie is daar momenteel nieuwe regels voor aan het opstellen, die verwerkt worden in de wet ‘E-Privacy Verordening’. Het is nog niet bekend wanneer deze wet in gaat.

Start zo snel mogelijk met het doorvoeren van de veranderingen van de Algemene Verordening Gegevensbescherming. Zodra wij meer weten over de E-Privacy Verordening, vertellen wij het je in een nieuw artikel. 

Tip:

Om alles veranderingen goed door te voeren zal je met verschillende mensen binnen je bedrijf moeten samenwerken. Wijs daarom één persoon aan die ervoor zorgt dat iedereen met elkaar blijft communiceren.