U bevindt zich hier:--Privacy wetgeving van kracht, doe de laatste check!

Privacy wetgeving van kracht, doe de laatste check!

Door |2018-08-08T14:30:21+00:0011 juni, 2018|Categorieën: Laatste nieuws|Tags: |

checklist privacy wetgeving

Op 25 mei is de nieuwe privacy wet in werking getreden, officieel de Algemene Verordening Gegevensbescherming genaamd. Veel ondernemers hebben nog geen actie ondernomen vanwege de complexiteit, maar vluchten kan niet meer… het betekent gewoon even zitten en doornemen, het is niet anders.

Toegegeven, het is een lastig onderwerp, maar door dit serieus te bekijken laat je zien dat jouw organisatie transparant werkt en dat er serieus wordt omgegaan met de persoonsgegevens van je klanten. Privacy wetgeving is een serieuze zaak, controles worden uitgevoerd door de Autoriteit Persoonsgegevens en een boete kan flink oplopen.
Aan de slag dus! En in aanvulling op wat we eerder schreven in september 2017, hierbij een handige checklist die je helpt bij het aanpakken van dit onderwerp in de organisatie mocht je dit nog niet hebben gedaan.

De nieuwe privacy wet in het kort

De nieuwe wet houdt in dat de persoonsgegevens van privépersonen veel beter beschermd zijn. Als organisatie heb je de plicht om deze privacy te beschermen en hierover te informatie te kunnen geven. Dit betekent:
Dat je je aan de wetgeving houdt, dat je bijhoudt welke persoonsgegevens je van iemand gebruikt, voor welk doel en wat de wettelijke grondslag is. En dat je alleen persoonlijke gegevens opvraagt en gebruikt:

a. als deze noodzakelijk is om een online bestelling te versturen (dus geen geboortedatum).
b. als je ondubbelzinnig toestemming hebt gekregen om deze te gebruiken. Als je bijvoorbeeld toch een geboortedatum van een klant wilt opslaan, moet je aangeven waarom je dit wenst, het mag geen verplicht veld zijn.
c. als je kunt rechtvaardigen waarom je de gegevens voor marketingdoeleinden nodig hebt en je alle privacyregels in acht hebt genomen. Je mag dus bijvoorbeeld wel surfgegevens verzamelen via Google Analytics als deze anoniem zijn.

  1. Pas privacy verklaring aan
    Maak een duidelijke privacy verklaring die makkelijk vindbaar is in de footer van je website. Daarin leg je uit welke gegevens je verzamelt, hoe je dat doet en waarvoor je de gegevens gebruikt.
  2. Gebruik Google Analytics geanonimiseerd
    Google Analytics mag je alleen geanonimiseerd gebruiken. Daarvoor kun je de gegevens aanpassen naar privacyvriendelijk. Zo worden bezoekers niet lastig gevallen met cookiemeldingen. Remarketing wordt zo helaas niet meer mogelijk. Dit geldt ook voor andere tracking tools zoals Hotjar recordings of Leadexpress IP scans.
  3. Maak een nieuwe cookiemelding
    In de cookiemelding moet te lezen zijn dat cookies pas geplaatst worden als personen aangeven dat ze accoord gaan, of als ze verder navigeren door de website. De laatste mogelijkheid is de makkelijkste.
  4. Maak duidelijk waarom je verzamelt
    Als je persoonsgegevens verzamelt, maak dan goed duidelijk waarom je dit doet, waarvoor je de gegevens gaat gebruiken en verwijs naar de privacy verklaring.
  5. Recht om vergeten te worden
    Personen hebben altijd het recht om door jou verzamelde gegevens op te vragen, in te zien, te laten wijzigen of verwijderen. Verstuur je bijvoorbeeld emails via Mailchimp, dan kunnen mensen zich altijd via de link onderaan uitschrijven. Soms kunnen privépersonen op webshops zelf inloggen en aanpassingen doen. In de privacy verklaring moet duidelijk staan hoe je in contact kunt treden om iets te wijzigen.
  6. Opt-in moet op wettelijke manier verkregen zijn
    Alle inschrijvingen van personen moeten op een wettelijke manier zijn verkregen, via opt-in. Personen hebben expliciet en aantoonbaar toestemming gegeven. Als je emails wilt versturen, moet je altijd aan kunnen tonen dat dit mag. Is dit onduidelijk bij bepaalde adressen, dan moet je opnieuw toestemming vragen.
    Heb je een factuurrelatie met klanten? Dan is het versturen van emails toegestaan.
  7. Organiseer de persoonsgegevens
    Je bent verplicht om de persoonsgegevens veilig te organiseren. Denk aan een SSL certificaat voor de versleuteling van online formulieren. Je moet aan kunnen tonen dat gegevensbestanden veilig zijn opgeslagen en veilig worden beheerd.
  8. Bewaar persoonsgegevens niet langer dan noodzakelijk
    Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel en de verwerking ervan. Neem in de privacy verklaring een alinea op hoe je hiermee als bedrijf omgaat.
  9. Welke bedrijven hebben toegang tot jouw bestand?
    Veel bedrijven hebben toegang tot jouw bestanden, denk aan webbouwers, hostingproviders, factureringsbedrijven, accountants, clouddiensten, Google Analytics, Mailchimp etc. Officieel dien je met deze bedrijven afspraken te maken over de toegang om bescherming van de personen te waarborgen. Dit leg je vast in een verwerkersovereenkomst.
  10. Wel of geen toezichthouder?
    Bedrijven met meer dan 250 werknemers in dienst, zijn verplicht om een Data Protection Officer aan te stellen om de regels na te leven. Bij minder dan 250 werknemers hoeft dit niet, tenzij activiteiten dit noodzakelijk maken, denk aan het opslaan van medische en strafrechtelijk data.

Bronnen: autoriteitpersoonsgegevens.nl, Vrolijkonline,nl