020 2 141 009

Met deze tips weet je zeker dat je klaar bent voor de nieuwe privacywet

In 1995 werd voor het eerst een wet ingevoerd voor de bescherming van persoonsgegevens. Dit is de Wet bescherming persoonsgegevens (Wbp). Maar niemand zal ontkennen dat er in de afgelopen jaren zoveel is veranderd online dat een nieuwe privacywet onvermijdelijk is. Daarom maakt de Wbp op 25 mei 2018 ruimte voor de AVG, de Algemene Verordening Gegevensbescherming. Deze nieuwe privacywet wordt ook wel General Data Protection Regulation (GDPR) genoemd. De nieuwe privacyregels gelden namelijk niet alleen voor Nederland, maar voor alle landen binnen de Europese Unie. In een eerdere blogpost legden we al uit hoe het inhoudelijk zit met de nieuwe privacyregels. Nu gaan we over op actie: zo bereid je je voor op de nieuwe privacywet.

De belangrijkste punten van de nieuwe privacywet

Allereerst is het goed om te weten wat nu de belangrijkste punten zijn om je bedrijf AVG/GDPR-proof te maken:

1.  Actief toestemming vragen en informeren;

2. Hernieuwde privacyverklaring;

3. Verantwoording afleggen;

4. Uitgebreidere privacy rechten.

 

1. Actief toestemming vragen en informeren

De nieuwe privacywet stelt strengere eisen als het gaat om het verzamelen van persoonsgegevens. De personen van wie de gegevens worden vastgelegd moet hierover op een transparante en beknopte manier worden geïnformeerd. Het moet voor de persoon in kwestie duidelijk zijn dat:

1. Zijn gegevens überhaupt worden opgeslagen;

2. Welke gegevens er precies worden opgeslagen;

3. Voor hoe lang deze gegevens door het bedrijf worden opgeslagen;

4. Wat de reden is dat de gegevens worden opgeslagen.

‘De kleine lettertjes’ doen niet meer mee bij deze nieuwe privacywet. Er moet namelijk expliciet om toestemming worden gevraagd en dat moet op een duidelijke manier gebeuren. Geen trucjes met vooraf aangevinkte vakjes, jargon of… Precies, kleine lettertjes.

2. Hernieuwde privacyverklaring

Met de nieuwe wetgeving ontkom je er niet aan: elke instantie, óók ZZP’ers, zal zijn privacyverklaring moeten herzien en aanpassen om aan de nieuwe wet te voldoen. Naast de inhoudelijke vereisten, zoals we bij het vorige punt noemden, is taalgebruik ook een belangrijk focuspunt bij het opstellen van de nieuwe verklaring. Volgens de Autoriteit Persoonsgegevens (AP) moet de privacyverklaring namelijk beknopt, transparant en begrijpelijk zijn.

Tip: misschien laat je jouw privacyverklaring wel opstellen door een jurist. Groot gelijk, die kent immers alle haken en ogen van de AVG/GDPR. Maar schuif de verklaring daarna ook nog even door naar iemand die communicatief erg strek is. Zo weet je zeker dat je én de juiste inhoud hebt én het juiste taalgebruik.

3. Verantwoording afleggen

De AVG/GDPR brengt ook een grotere verantwoording mee voor bedrijven. Als bedrijf moet je vanaf 25 mei 2018 zelf kunnen aantonen dat je de wet op de juiste manier toepast. Er geldt namelijk een documentatie- en bewijsplicht. Het is daarom zaak om een database bij te houden waarbij per contact wordt bijgehouden wat de privacystatus is.

Van sommige bedrijven kan worden gevraagd om een Data protection impact accessment (DPIA) uit te voeren. Dit is alleen van toepassing als het verwerken van bepaalde persoonsgegevens een hoog privacyrisico met zich meebrengt. Bijvoorbeeld als het gaat om grootschalige dataverzameling of wanneer er juist specifieke persoonlijke aspecten worden geëvalueerd. Hoe gevoeliger de informatie hoe groter de kans is dat jouw bedrijf een DPIA moet uitvoeren.

4. Uitgebreidere rechten

Het zal je niet ontgaan zijn dat de AVG/GDPR er alles aan doen om het de ‘gewone consument’ zo makkelijk mogelijk te maken. De verantwoording wordt voor het grootste deel bij de bedrijven gelegd. En ook dit laatste punt draait om het gemak van de gebruiker. Met de nieuwe wet worden de rechten van mensen namelijk uitgebreid:

1. Gegevens verwijderen

Met de nieuwe wet mogen mensen hun eigen persoonsgegevens inzien, corrigeren en verwijderen (en dan wordt écht helemaal verwijderen bedoeld, dus niet alleen offline halen).

2. Eigen gegevens beheren

Wil je jouw gegevens delen met een andere organisatie? Dat mag. Volgens de nieuwe wet heb je het recht om persoonsgegevens op te vragen en over te dragen aan een ander bedrijf.

3. Klagen

Dit punt spreekt voor zich, maar we benoemen het toch: heb je het gevoel dat een bedrijf niet op de juiste manier omgaat met jouw gegevens? Dan mag je een klacht indienen bij AP.

Wil je nog meer lezen over online vindbaarheid? Dat kan op onze blog.