25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. De GDPR is de opvolger van meldplicht datalekken en deze privacy verordening gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.
Ik hoor u al denken.. huh, wat?? In deze blog beschrijf ik kort wat deze privacy wet is, wat het betekent voor uw organisatie en wat moet u doen om boetes te voorkomen.
Wat is de GDPR?
Het belangrijkste om te weten is dat de GDPR ervoor moet zorgen dat bedrijven (zowel B2B als B2C) de privacy rechten van de individuele consument (binnen de EU) respecteren. Dus voor alle bedrijven die persoonlijke gegevens van EU inwoners verzamelen, verwerken en gebruiken is deze wet van toepassing.
Waarom?
Tot nu zijn vrijwel alle bedrijven onduidelijk geweest over het hoe en waarom van het verzamelen van persoonsdata. Elke website bevat tegenwoordig een cookiemelding, waar 99% van de gebruikers zonder na te denken op ‘ja’ klikt zodat die vervelende pop-up weg is, maar verder is het vrij onduidelijk wat en welke data er nu van je wordt opgeslagen en waarvoor het gebruikt wordt.
Met de GDPR wordt dit een stuk inzichtelijker. Bedrijven moeten namelijk aangeven welke data ze opslaan, wat ze ermee doen en consumenten moeten eenvoudig inzage kunnen krijgen in hun eigen data en om verwijdering kunnen vragen.
Om welke data en gegevens gaat het dan?
De GDPR draait om persoonsgegevens. Het begrip ‘
persoonsgegevens’ is ‘
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dus als een persoon met behulp van een (online) identificator (naam, email adres, kenteken, online nickname, IP-adres, etc.) kan worden geïdentificeerd dan is dit een persoonsgegeven.
In principe kunnen persoonsgegevens worden onderverdeeld in drie categorieën:
- Persoonsgegevens: bijvoorbeeld NAW-gegevens, IP-adres en device-ID’s.
- Pseudo-anonieme data: persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar die wel een persoon individueel maken, zoals een versleuteld e-mailadres of gebruikers-ID.
- Anonieme data: data die van de bezoekers wordt opgeslagen zonder dat er een relatie kan worden gemaakt met de individuele gebruiker.
De impact van de GDPR is dus groot, want in principe valt elke website waar gebruik wordt gemaakt van cookies onder de GDPR. (in de nabije toekomst wordt de Cookiewet vervangen door ePrivacy regulation, die nu nog in ontwikkeling is.)
Maar niet alleen de marketingdata die wordt gebruikt op websites valt onder de GDPR, als u bijvoorbeeld een CV digitaal opslaat (en verkrijgt via een upload functie op de website) zijn dit ook persoonsgegevens die u verwerkt. Ook zulke gegevens vallen onder de GDPR.
Een voorbeeld: het verschil tussen de huidige en nieuwe situatie
De oude privacy regels stonden toe dat persoonlijke gegevens vaak zonder expliciete toestemming konden worden gebruikt voor diverse doeleinden.
Stel dat u een whitepaper op uw website plaatst en een bezoeker laat zijn of haar e-mailadres achter om dit te kunnen downloaden. Of u organiseert een wedstrijd, waar mensen aan deel kunnen nemen door hun contactgegevens op uw site achter te laten.
In de huidige situatie wordt deze data vaak gebruikt om de mensen die hun gegevens hebben achter gelaten te benaderen met aanvullende marketinginformatie zonder ze hiervoor op voorhand hierover te informeren.
Vanaf 25 mei 2018, als de GDPR in werking wordt gesteld, bent u verplicht om de gebruiker te informeren dat hun persoonsgegevens (in dit geval het email adres en contactgegevens) ook gebruikt worden voor aanvullende marketingdoeleinden (+ welke doeleinden). De gebruiker kan dan zelf via een vinkje (opt-in toestemming) aangeven of hij hiermee akkoord gaat.
Niet alleen het verkrijgen van ‘opt-in’ toestemming wordt aangescherpt. Maar ook wanneer uw bedrijf klantdata verzamelt, moet u ‘redelijk bewijs’ kunnen leveren van het verkrijgen van toestemming. U moet dus op enig moment van elke individuele gebruiker (klant, prospect, website bezoeker) kunnen aantonen dat en hoe deze persoon toestemming heeft gegeven tot het vastleggen van deze informatie. Concreet betekent dit, dat u elke opt-in actie zult moeten vastleggen en opslaan. Daarbij moet u de gebruiker inzicht geven in deze data en hem ook de mogelijkheid geven voor een opt-out actie.
Overtreding
De GDPR is een bindende richtlijn en overtreding van de regels kan leiden tot een boete van maximaal 20 miljoen euro of 4% van de totale wereldwijde omzet van een holding of groep bedrijven.
Oke, duidelijk. Maar wat moet ik nu doen?
Dit leggen we uit in een volgende blog die volgende week verschijnt!
Bronnen:
https://www.autoriteitpersoonsgegevens.nl/nl
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation
http://www.atvalley.nl/wat-is-de-gdpr/
https://digital-power.com/blogs/gdpr-voordelen-verscherpte-wetgeving-rondom-data-privacy
https://www.emerce.nl/achtergrond/gdpr-10-veranderingen
https://www.marketingfacts.nl/berichten/gdpr-de-gevolgen-voor-tracking-analytics
http://computerworld.nl/security/99570-checklist-zo-maak-je-jouw-data-gdpr-proof