Bereid je voor op de nieuwe privacy-wetgeving EU (GDPR)

25 mei 2018 gaat de nieuwe privacy-wetgeving van de EU van kracht, de General Data Protection Regulation (GDPR). Elke organisatie die persoonlijke informatie beheert van mensen die in de EU wonen, moet flink wat aanpassingen doen.

De GDPR wil de privacy-wetgeving in Europa harmoniseren en de Europese burgers meer rechten en bescherming bieden. Het doel is ook om de manier waarop organisaties data-privacy benaderen rigoureus te veranderen. Organisaties die na 25 mei niet aan de nieuwe wet voldoen, riskeren een forse boete.

GDPR EU.jpg

Wie nog niet is begonnen met het voorbereiden op deze nieuwe wetgeving, moet nu echt snel aan de slag. De impact op de organisatieprocessen, de informatie zelf en de manier waarop het is opgeslagen, is namelijk groot. Dit is geen juridische exercitie die je aan bedrijfsjuristen kunt overlaten. Ook informatiespecialisten, business consultants, HR-professionals en andere specialisten hebben hun inbreng in deze verandering.

Bescherming van persoonlijke data

De GDPR bestempelt data als ‘persoonlijk’ als het kan worden gebruikt voor het direct of – in combinatie met andere data – indirect herkennen van individuen. Dus niet alleen iemands NAW-gegevens, maar ook een IP-adres en ID’s van gebruikte apparaten zijn in deze definitie persoonlijke informatie.

Het gaat om persoonlijke data van iedereen die een EU-burger is. Dus ook organisaties die buiten de EU zijn gevestigd, maar data bewaren van EU-burgers vallen onder deze wetgeving. Denk aan de Amazon’s, Google’s, Alibaba’s en Microsoft’s van deze wereld.

Toestemming en verantwoording

Veel organisaties vertrouwen erop dat de toestemming van de betreffende persoon de juridische basis is voor het verzamelen en inzetten van persoonlijke data. Maar de GDPR eist dat die toestemming “vrijwilig verstrekt, specifiek, geïnformeerd en non-ambigu” is.

Specifiek betekent dat precies moet worden aangegeven waar de data voor wordt gebruikt. Als data voor meer dan een doel wordt gebruikt, moet de toestemming ‘granular’ zijn. Zodat men toestemming kan geven voor het ene maar niet voor het andere doeleind.

Non-ambigu betekent dat toestemming voor de toepassing van de persoonlijke data niet verondersteld mag zijn of al met vooraf (door de organisatie zelf) aangevinkte aankruisvakken zijn gegeven.

Geen verborgen voorwaarden meer

Organisaties mogen om toestemming voor het gebruik van persoonlijke data vragen als deze data echt vereist is voor de dienstverlening. Elk verzoek om toestemming moet ook “beknopt, transparent en begrijpelijk” zijn.

Dit moet een eind maken aan die ellenlange, cryptische gebruiksvoorwaarden die consumenten nu ongelezen accepteren.

Beperking in marketing

De noodzaak om persoonlijke data te gebruiken voor marketingacties wordt met deze wet ook ingeperkt. Organisaties moeten hun eigen belang afwegen tegen de fundamentele rechten en de vrijheden van de consument. Het gebruik van persoonlijke data is hiermee alleen toegestaan bij bestaande klanten waarbij het gebruik van data logisch volgt uit de organisatie-klantrelatie. Bijvoorbeeld een pizzaketen die de naam en het e-mailadres van klanten gebruikt om een korting aan te bieden op de volgende bestelling.

Maar zij mogen die data weer niet combineren met data die is verzameld uit bijvoorbeeld een app of de locatiegegevens van de mobiele telefoon waarmee de bestelling is gedaan.

Fikse boete

De EU-wetgever legt organisaties flinke boetes op als zij in overtreding zijn, tot EUR 20 miljoen of 4 procent van de jaarlijkse omzet als dat bedrag hoger uitvalt. We hebben het hier voor honderden miljoenen of zelfs miljarden euro’s voor grote internationale organisaties.

De nieuwe wet is geen ‘papieren tijger’. Er is al aangekondigd dat men actief gaat controleren en beboeten. Denk niet aan ‘de bakker om de hoek’, maar publieke organisaties, multinationals en grotere spelers in de (consumenten)markt kunnen audits verwachten.

Eigenaarschap verandert

De GDPR legt het eigenaarschap van de informatie eigenlijk – en eindelijk! – bij de consument. Organisaties die deze persoonlijke data – met expliciete toestemming – ‘lenen’ zijn ‘controller’ of ‘processor’ (verwerkers) van deze data. Dit onderscheid moet expliciet geregeld zijn in de informatieprocessen.

Ook moet het aantal mensen en systemen dat toegang heeft tot de persoonlijke tot een minimum worden beperkt. Ook dat moet expliciet worden beschreven.

En verder hebben consumenten het fundamentele recht om hun persoonlijke data volledig te laten aanpassen, verwijderen en doorsturen over alle systemen en informatiebronnen van de organisatie (‘controller’) en de toeleveranciers (‘processors’) die de persoonlijke data voor die organisatie verwerken.

Organisaties in de publieke sector moeten verplicht een digital protection officer (DPO) aanstellen die het proces van de privacybescherming bewaakt. Het is te verwachten dat ook de grotere organisaties zo’n functionaris gaan aanstellen of in elk geval iemand die expliciete rol zullen geven.

Informatiegovernance ‘to the rescue’

Het meest ingrijpende van de hele GDPR-wetgeving is misschien wel de ‘accountability’ van elke organisatie die persoonlijke data gebruikt. Organisaties moeten niet alleen de letter van de wet volgen, maar ook expliciet kunnen aantonen dat zij de kernprincipes van privacy- en databescherming in hun informatiebeleid, -processen en -gedrag hebben omarmd en uitgedragen.

Dit betekent dat elk informatieproces en elk informatiesysteem moeten worden ingericht op het minimaal en consciëntieus inzetten van persoonlijke data voor een zo kort mogelijke periode met toegang voor zo weinig mogelijke andere mensen en systemen, waarbij de data zo snel mogelijk weer wordt verwijderd als de verwerking is beëindigd.

Dit alles vereist een interdisciplinair ‘systeemdenken’ dat alleen met optimale informatiegovernance kan worden gerealiseerd. Let op! Dit is geen eenmalig project, maar een continu proces dat regelmatig zal worden ge-audit. Dit gaat ook verder dan het plaatsen van een ‘cookie banner’ of het implementeren van een systeem waarvan de leverancier belooft dat het ‘GDPR-compliant’ is.

Kans of bedreiging?

Al met al heeft de nieuwe GDPR-wetgeving grote gevolgen voor elke organisatie die persoonlijke data gebruikt. En de gevolgen zijn nog groter voor organisaties die persoonlijke data inzetten voor hun marketing-activiteiten. De dagen van onbeperkt links en rechts persoonlijke data verzamelen zijn vanaf 25 mei 2018 voorbij.

Organisaties hebben de keuze: aanpassingen doen aan het gebruik van persoonlijke data om boetes te voorkomen of aanpassingen doen om zich nog meer te onderscheiden van concurrenten. De GDPR is onontkoombaar, dus misschien is het expliciet respecteren van de privacyrechten van consumenten het winnende scenario. Respect leidt namelijk tot vertrouwen. En vertrouwen is dé basis voor de optimale klantrelatie.

Meer informatie over GDPR

Er is veel te vertellen over deze nieuwe EU-wetgeving. Ik raad je aan om mensen in de organisatie op te zoeken die een rol kunnen spelen in de voorbereiding op deze privacy-wet. Stel samen een plan op om van de GDPR een winnend scenario te maken.

Lees ook deze samenvatting van de 6 grootste veranderingen

Bekijk de EU-website over GDPR met veel achtergrondinformatie en handreikingen.

De antwoorden op de meestgestelde vragen over de GDPR zijn ook handig.

Nog meer over GDPR vind je op GDPRBeyond


TRAINING INFORMATIEGOVERNANCE

03 governanceLeer hoe informatiegovernance helpt bij het versnellen van de digitale strategie en het aanpassen van je organisatie op de nieuwe EU GDPR privacy-wetgeving.

De training informatiegovernance legt uit hoe je een governance raamwerk opzet, informatiebeleid en -standaarden definieert en hoe je de governance bewaakt en doorontwikkelt.

vanaf € 695,- online en vanaf € 595,- p.p. in-company | meer informatie