Ongetwijfeld zijn de afkortingen GDPR en / of AVG inmiddels wel eens voorbij gekomen in een newsfeed, bij het koffiezetapparaat of op het journaal. Vanaf 25 mei 2018 gaat de Europese Unie actief controleren op de wetgeving die na 4 jaar ploeteren al op 27 april afgelopen jaar (!) is ingevoerd. Officieel gezien is de wetgeving dus al van kracht.

Maar wat houdt de General Data Protection Regulation, ook wel de Algemene Verordening Gegevensbescherming, nou precies in? En welke invloed heeft het op bedrijven en instanties in Nederland en in de Europese Unie? In dit artikel proberen we dat zo helder mogelijk uit te leggen en bieden we een stappenplan om goed voorbereid te zijn op de invoering van de GDPR.

Dit artikel heeft een leestijd van 10 tot 15 minuten. Wanneer je al enige kennis van de GDPR hebt, kan je ook kiezen om snel naar een onderwerp te skippen.
Wat houdt het in?
Wat kan ik nu al doen?
Wat is in de toekomst belangrijk?

Wat houdt het in?

Hoewel de wet- en regelgeving door de Europese Unie in een 11 hoofdstukken tellend, 99 artikelen dik document is vastgelegd, zijn er eigenlijk slechts vier hoofddoelen die met de wetgeving beoogd zijn:

  1. Organisaties mogen geen persoonsgebonden data opslaan zonder gegronde motivatie
  2. Organisaties mogen gegevens niet gebruiken zonder expliciete toestemming
  3. Individuen zijn en blijven eigenaar van hun eigen data
  4. Persoonsgebonden data mag niet onbeveiligd opgeslagen en / of verstuurd worden

Deze vier principes vormen de basis van de wetgeving. Maar, zoals in de meeste wet- en regelgevingen, komen hier allerlei extra zaken bij kijken die belangrijk zijn. We gaan hier één voor één in op de vier bovenstaande punten.

1. Organisaties mogen geen persoonsgebonden data opslaan zonder gegronde motivatie

Hoewel dit een logische regel lijkt, blijkt in de praktijk toch dat veel organisaties zich hier nu niet aan houden. Een voorbeeld: voor modeketen A willen ze je graag persoonlijke korting aanbieden en hebben daarvoor je e-mailadres nodig. Bij het invullen blijkt dat ze ook je geboortedatum willen weten en je adresgegevens. Dit lijkt misschien logisch, maar wanneer deze modeketen je alleen aanbiedingen per mail stuurt, hebben ze geen gegronde reden om jou om je geboortedatum of adresgegevens te vragen. Pas wanneer zij bij het invullen aangeven dat ze je geboortedatum nodig hebben om je op je verjaardag een presentje te sturen, en dat je adresgegevens nodig zijn omdat ze dit per post doen, pas dan is het geoorloofd.

Maar het gaat nog verder. Want volgens de letter van de wet moet de toestemming voor elk stuk unieke functionaliteit worden afgegeven. Dat betekent dus dat het niet volstaat voor modeketen A om aan jou een akkoord te vragen voor het gebruiken van je e-mailadres voor aanbiedingen én je geboortedatum én je adresgegevens voor het versturen van presentjes. Ze zullen je moeten vragen om toestemming om je e-mailadres te gebruiken en los daarvan om toestemming om je geboortedatum en adresgegevens te gebruiken.

En het gaat zelfs nog verder. Want als jij wél je e-mailadres wil opgeven maar niet je geboortedatum en adresgegevens, dan moet dit volgens de wetgeving kunnen. Het feit dat jij als individu bepaalde data van jezelf niet wilt vrijgeven, mag geen belemmering zijn voor het gebruik maken van andere functionaliteiten waarvoor die data niet noodzakelijk is.

2. Organisaties mogen gegevens niet gebruiken zonder expliciete toestemming

Eigenlijk staat dit in het vorige voorbeeld al opgenomen, maar het is toch nuttig hier nog wat dieper op in te gaan. Wanneer je als organisatie aan kan tonen dat bepaalde data van een individu benodigd is om functionaliteiten aan te bieden, betekent dit niet automatisch dat je als organisatie deze data ook mag gebruiken. Dit klinkt misschien verwarrend, maar laten we het voorbeeld uit de vorige paragraaf van modeketen A er nog eens bij pakken.

Stel dat modeketen A bij het aanvragen van jouw e-mailadres niets heeft gezegd over het versturen van een nieuwsbrief. In dat geval is het ook niet toegestaan om jou een nieuwsbrief te sturen. Hoewel ze jouw e-mailadres hebben, het ook mogen opslaan en mogen inzetten om je e-mails rondom bijvoorbeeld accountinformatie of aankopen te versturen, hebben ze niet jouw expliciete toestemming ontvangen om nieuwsbrieven te versturen.

In complexere data-structuren kan dit verstrekkende gevolgen hebben. Facebook, bijvoorbeeld, mag data van haar gebruikers straks niet meer verkopen aan marketing bedrijven zodat zij hier gepersonaliseerde advertenties op in kunnen zetten. Tenzij Facebook hier natuurlijk expliciete toestemming om heeft gevraagd aan haar gebruikers. Hoewel Facebook een geschiedenis heeft van het verstoppen van clausules in ellenlange pagina’s aan algemene voorwaarden, voorziet de GDPR hier ook in. Volgens de wetgeving moet de toestemming voor het gebruik van persoonlijke data gevraagd worden in ondubbelzinnige, duidelijke taal. Geen juridische wartaal, geen kleine lettertjes, maar heldere en leesbare tekst. Ook voor Facebook.

3. Individuen zijn en blijven eigenaar van hun eigen data

Dit klinkt logisch, en dat is het ook. Want de data die over jou als individu verzameld wordt, is toch gewoon jouw data? Dat klopt, maar helaas is dat in veel van de gevallen nu niet zo. Organisaties beschouwen hun database als hun eigendom en ook al staat er ontzettend veel data in die rechtstreeks aan jou als persoon te verbinden is, het is de database van de organisatie en dus is het toch gewoon hun data? Fout.

Onder de GDPR ben jij als individu volledig eigenaar van alles wat er over jou wordt opgeslagen. In de praktijk betekent dit dat jij als individu aan elke organisatie die gegevens over jou verzameld, mag opvragen wat zij precies over jou opgeslagen hebben. De organisatie heeft dan de wettelijke verplichting om alle data die zij over jou hebben aan jou aan te leveren. Hoewel dit Recht op Inzage al veel eerder geregeld was onder de Wet op Bescherming Persoonsgegevens (artikel 35), is dit met de invoering van de GDPR nog eens extra bekrachtigd. Organisaties hebben na aanvraag 4 weken de tijd om je deze gegevens aan te leveren.

Omdat jij eigenaar bent van jouw eigen data, betekent dit ook dat je een organisatie mag vragen om jouw data die ze hebben te verwijderen, het zogenaamde Recht Om Vergeten Te Worden. Dit recht bezitten Europese staatsburgers al sinds een uitspraak van het Europees Hof van Justitie op 13 mei 2014, maar is nu ook officieel in de GDPR (AVG) geregeld. Het is hierbij belangrijk om te weten dat het hier om een hard-delete gaat. Dat wil zeggen dat het niet voldoende is om de gegevens te verwijderen, maar ergens op een schimmige database onderwater nog een kopietje te bewaren. Er mag echt niks bewaard blijven.

Als laatste is het belangrijk om te weten dat data een ‘slaap-termijn’ van twee jaar mee krijgt. Wanneer een organisatie persoonsgebonden data bewaart en er al twee jaar geen contact meer met de betreffende klant is geweest, dan moet deze data verwijderd worden. Aan de ene kant is dit een positief punt, aan de andere kant kan je vanaf nu waarschijnlijk na bijna 2 jaar allerlei mailtjes verwachten van al die organisaties waar je je op een onbewaakt moment even voor hebt ingeschreven. Ach ja, elk nadeel hep zijn voordeel.

4. Persoonsgebonden data mag niet onbeveiligd opgeslagen en / of verstuurd worden

Hoe ontzettend logisch en prettig dit ook klinkt, het gebeurt helaas in veel van de gevallen nog niet voldoende. Hoe vaak heb je in de afgelopen jaren niet in de krant gelezen, of in het nieuws gezien dat bedrijf zus en zo door een slechte beveiliging per ongeluk al haar klantgegevens op straat heeft gezet? Onder de GDPR gaat hier strenger op gecontroleerd worden.

Zo zullen websites die persoonsgebonden data verwerken dit altijd via een zogenaamd secure protocol (bijvoorbeeld HTTPS) moeten doen. Verder moet de data versleuteld worden opgeslagen en moet er actief beleid worden gevoerd op welke gebruikers toegang tot de data hebben. Ook hier geldt: is er geen logische redenering te bedenken waarom iemand toegang zou moeten hebben tot de data? Dan mag deze persoon ook geen toegang tot de data.

Wat kan ik nu al doen?

Goed, leuk om te weten wat er in grote lijnen in de GDPR staat, maar wat is het praktisch effect? Wat kan je als organisatie er nu al aan doen om er voor te zorgen dat je vanaf 25 mei 2018 niet in de problemen komt?

In deze paragraaf gaan we hier dieper op in. Met het onderstaande stappenplan kan je bepalen in hoeverre je organisatie al aan de AVG voldoet, en zo niet, wat er nog moet gebeuren om op 25 mei 2018 helemaal voorbereid te zijn. Dus, wat kan je doen?

  1. Onderzoek welke persoonsgebonden data de organisatie opslaat
  2. Onderzoek hoe de huidige data is verkregen en of hier toestemming voor is verleend
  3. Bepaal of deze data essentieel is voor het uitvoeren van de bedrijfsactiviteiten
  4. Stel vast hoe oud de data is die is opgeslagen
  5. Informeer waar nodig je klanten
  6. Bepaal of het aanstellen van een Data Protection Officer (DPO) nodig is

Hieronder gaan we wederom stapsgewijs op alle bovenstaande punten in.

1. Onderzoek welke persoonsgebonden data de organisatie opslaat

Dit kan een flink tijdrovende klus zijn, maar het is een noodzakelijke klus. Allereerst moet worden uitgezocht welke data nu wordt opgeslagen van klanten, leveranciers, prospects, etc. Eigenlijk alle data die inwoners van de Europese Unie betreft. Hierbij is het vooral belangrijk om onderscheid te maken tussen persoonsgebonden data, en gevoelige persoonsgebonden data.

Gevoelige persoonsgebonden data gaat over informatie als het ras van een persoon, de gezondheid, seksuele voorkeur, religie en politieke overtuigingen. Data van dit type moet nog voorzichtiger worden behandeld dan ‘normale’ persoonsgebonden data. Dit houdt in dat een organisatie hierbij extra sterke argumenten moet hebben om deze data op te slaan. Verder zal de beveiliging van deze data nog sterker moeten zijn. De boetes op het lekken of ‘kwijtraken’ van dit soort data zijn derhalve ook het hoogst.

Het is wellicht verstandig om in deze stap ook direct te bekijken op welke verschillende plekken er data over personen wordt opgeslagen. Want wanneer een individu zijn of haar persoonsgebonden data bij de organisatie opvraagt, moet alle data aangeleverd kunnen worden. Het zou vervelend zijn als hiervoor elke keer opnieuw uit tientallen verschillende databases de informatie verzameld zou moeten worden. Deze stap zou dus ook de basis kunnen vormen voor een structurele database hervorming.

2. Onderzoek hoe de huidige data is verkregen en of hier toestemming voor is verleend

De wetgeving schrijft voor dat er voor alle persoonsgebonden data die wordt opgeslagen expliciete toestemming is vereist. In veel gevallen kan dit betekenen dat er toestemming gevraagd moet worden voor data die al tijden in het beheer is van een organisatie. En erger nog, dat deze data verwijderd moet worden als er geen toestemming wordt verleend, of de persoon in kwestie niet reageert.

Maar tegelijkertijd houdt dit ook in dat, wanneer de data op een juiste manier is verzameld en hier expliciete toestemming voor is verleend, er niet nogmaals om toestemming gevraagd hoeft te worden. Het is dus erg belangrijk om te bepalen hoe de data verzameld is, want dit kan het verschil betekenen tussen alle personen uit de database mailen en hopen dat ze reageren, en helemaal niets doen en toch aan de GDPR voldoen!

3. Bepaal of deze data essentieel is voor het uitvoeren van de bedrijfsactiviteiten

Helaas schrijft de GDPR voor dat wanneer data niet essentieel is voor het uitvoeren van bedrijfsactiviteiten, deze ook niet opgeslagen mag worden. In het eerder gebruikte voorbeeld van modeketen A betekent dit bijvoorbeeld dat een geboortedatum niet zomaar mag worden opgeslagen. Tenzij, natuurlijk, je organisatie heeft aangegeven dat de geboortedatum gebruikt wordt om jaarlijks op de verjaardag een leuk presentje te sturen.

Praktisch gezien houdt dit dus in dat als er nu een geboortedatum wordt opgeslagen, je als organisatie maar beter presentjes kan versturen, of daar snel mee moet gaan beginnen. Zo niet, dan mag je straks de geboortedatum niet meer opslaan. Tenzij je hier natuurlijk een ander praktisch nut voor kan vinden dan verjaardagskado’s.

4. Stel vast hoe oud de data is die is opgeslagen

In het hoofdstuk Wat houdt het in? schreven we al dat zogenaamde slapende data een houdbaarheidsdatum van 2 jaar gaat krijgen. Praktisch gezien betekent dit dat alle persoonsgebonden data waarbij er al 2 jaar of langer geen contact meer met de betreffende persoon is geweest, verwijderd moet worden. Of, er moet natuurlijk opnieuw toestemming gevraagd worden aan de persoon.

5. Informeer waar nodig je klanten

Heb je in stap twee t/m vier gaten ontdekt? Is er data opgeslagen waar geen expliciete toestemming voor is gevraagd? Is er data opgeslagen die niet essentieel is voor het uitvoeren van je bedrijfsactiviteiten? Of heb je data waar al 2 jaar helemaal niets meer mee is gebeurd? Dan is het noodzakelijk dat je de betreffende personen gaat informeren.

Dit kan per mail, per post, per telefoon, per postduif voor mijn part, maar het is onder de GDPR noodzakelijk dat je toestemming krijgt, dat je een nut bedenkt voor de data waarvoor je nu (nog) geen bedrijfsactiviteiten voor hebt en dat er in ieder geval enige activiteit met de betreffende persoon heeft plaatsgevonden.

Lukt dit niet, krijg je bijvoorbeeld geen reactie, of stemt de betreffende persoon er niet mee in? Dan zal de data helaas verwijderd moeten worden.

6. Bepaal of het aanstellen van een Data Protection Officer nodig is

De wetgeving adviseert bedrijven om een Data Protection Officer (DPO) aan te stellen, maar verplicht dit niet in alle gevallen. Voor overheidsinstanties is het in alle gevallen verplicht. Ook wanneer je op grote schaal persoonsgegevens verwerkt is het verplicht. Maar wat ‘op grote schaal’ inhoudt, wordt niet gedefinieerd. Als laatst, wanneer je gevoelige persoonsgevonden data verwerkt, is het zeker verplicht om een DPO aan te stellen.

De de DPO is nu en in de toekomst verantwoordelijk voor het bewaken en bijhouden van de data in je organisatie. Dit kan iemand intern in de organisatie zijn, maar het is ook goed mogelijk om hier een externe voor aan te stellen. Op het moment van schrijven zijn er steeds meer bedrijven, veelal gespecialiseerd in data bescherming, die gespecialiseerde DPO’s aanbieden.

Zorg er vooral voor dat dat hier iemand op zit die gekwalificeerd is om dit te doen, want de boetes die opgelegd kunnen worden liegen er niet om. Er kan tot maximaal 20 miljoen euro, of 4% van de jaaromzet beboet worden. Net welk bedrag het hoogst is. Uiteraard is dit wel afhankelijk van de ernst van de overtreding.

Wat is in de toekomst belangrijk?

Los van de maatregelen die nu al getroffen kunnen worden en de zaken waar organisaties zich vanaf 25 mei 2018 onder de GDPR op gecontroleerd gaan worden, schrijft de regelgeving ook de werkwijze voor hoe organisaties in de toekomst bedrijfsprocessen hier op in moeten richten. Dit wordt Privacy By Design of Privacy By Default genoemd.

Privacy By Design

Met het begrip Privacy By Design, ook wel Privacy By Default, geeft de wetgever aan dat voor elk nieuw te starten project goed over privacy moet worden nagedacht. Van meet af aan moet er worden bepaald welke data er wordt opgeslagen, waarom deze data wordt opgeslagen, hoe lang deze data wordt opgeslagen en waar de data wordt opgeslagen. Maar, vooral, of het noodzakelijk is om dit te doen.

Privacy by design dwingt organisaties ertoe om extra kritisch op zichzelf te zijn. Om niet zomaar data op te slaan omdat het ‘wellicht in de toekomst een keer van pas kan komen’. Om niet zomaar data op te slaan vanwege halfbakken redenen, maar alleen om een noodzakelijke.

Een geboortedatum opslaan om, naast de naam die natuurlijk dubbel voor kan komen, iemand te kunnen identificeren, is geen noodzakelijke reden. Hier zou immers ook een uniek klantnummer voor gebruikt kunnen worden.

Alle order- en transactiegegevens van een webshop inzichtelijk maken voor een medewerker Communicatie die alleen maar de e-mailadressen nodig heeft om een nieuwsbrief te sturen, is zeker niet noodzakelijk.

Het geslacht, sexuele voorkeur of geloofsovertuiging opvragen van je bezoekers, om zo een profielschets te kunnen maken en ze iets relevantere content te kunnen bieden, is absoluut niet noodzakelijk. Sterker nog, aangezien het hier gevoelige persoonsgebonden informatie betreft, is het zelfs sterk te adviseren dit niet te doen. De boetes op het lekken of verkeerd behandelen van dergelijke informatie kunnen enorm oplopen.

Conclusie

Al met al verandert er een hoop op 25 mei 2018. Organisaties zullen veel moeten aanpassen en het zal een hoop voorbereiding en inzet vereisen om uiteindelijk te voldoen aan de nieuwe regelgeving.

Maar tegelijkertijd hoeft dit geen negatieve ervaring te zijn. Toon de personen waarvan je persoonsgebonden data opslaat dat je organisatie met de regelgeving bezig is. Toon aan dat er verantwoordelijk met data wordt omgegegaan en dat je organisatie hier serieus mee bezig is.

Wanneer je dit als organisatie goed aanpakt, hou je er intern een schone, actuele (en vooral legale) database aan over, en is het extern een ontzettend sterke manier om in een goed daglicht te komen. Tegelijkertijd biedt het je de gelegenheid om een extra contactmoment met je klanten te hebben. Wederom, elk nadeel hep zijn voordeel!

Assistentie nodig bij de AVG?