De GDPR is sinds mei 2018 van kracht, maar veel organisaties worstelen nog steeds met volledige naleving. De Europese privacywet bepaalt hoe je omgaat met persoonsgegevens van klanten en welke rechten zij hebben.
In deze blog lees je welke vier kernvragen je moet beantwoorden om compliant te zijn, en wat je absoluut niet over het hoofd mag zien.
Allereerst: wat zijn persoonsgegevens? Dat zijn alle gegevens van een persoon, van naam, e-mail en telefoonnummer tot aankoopgegevens, bezoekgedrag en interesses. Verwerken betekent alle manieren waarop je deze data gebruikt, van opslaan tot delen en het opbouwen van klantprofielen.
Verwerken mag nog steeds, maar je moet nu transparant zijn over welke data je verzamelt, waarom en hoe je deze gebruikt. Bovendien is vaak expliciete toestemming van klanten vereist (opt-in), dus zorg dat dit helder en eenvoudig te geven is.
Een belangrijk uitgangspunt van de GDPR is dat mensen zeggenschap over hun eigen data krijgen. Klanten hebben onder andere het recht om:
Inzage in hun gegevens te krijgen.
Gegevens te corrigeren.
Gegevens te laten wissen (recht om vergeten te worden).
Gegevens over te dragen aan een andere partij (recht op dataportabiliteit).
Eerdere toestemming in te trekken en de verwerking te stoppen, zelfs bij een gerechtvaardigd belang.
Zo kunnen klanten bijvoorbeeld hun gegevens laten doorsturen naar een andere dienstverlener, zoals een concurrent.
De GDPR vraagt organisaties om zorgvuldig om te gaan met persoonsgegevens en dit ook in beleid vast te leggen. Dit beleid moet op meerdere niveaus zichtbaar zijn en in de praktijk worden toegepast.
Bij het ontwerpen van je diensten en producten is het belangrijk dat je niet meer gegevens verzamelt of bewaart dan strikt noodzakelijk. Dit principe wordt privacy by design genoemd. Daarnaast moet je dit technisch bewaken, bijvoorbeeld door op je website het vakje ‘ik wil de nieuwsbrief ontvangen’ niet standaard aan te vinken; dit heet privacy by default.
Sommige organisaties zijn bovendien verplicht een functionaris gegevensbescherming (Data Protection Officer) aan te stellen. Dit geldt vooral voor overheden, publieke organisaties en bedrijven die op grote schaal gevoelige persoonsgegevens verwerken.
Tot slot kan het verplicht zijn een impact assessment uit te voeren. Dit is een instrument om vooraf privacyrisico’s in kaart te brengen en speelt vooral een rol bij grootschalige verwerking of wanneer gevoelige gegevens worden gebruikt.
Om straks aan de GDPR te voldoen, moet je je tooling en administratie op orde brengen, zodat je al je gegevensverwerking kunt verantwoorden. Dat doe je door:
De Autoriteit Persoonsgegevens controleert actief op naleving. Niet voldoen kan leiden tot flinke boetes: tot 20 miljoen euro of maximaal 4% van de jaaromzet per overtreding. Actuele naleving is essentieel om reputatie- en financiële risico’s te vermijden.
GDPR is geen formaliteit: het vraagt om een structurele aanpak in beleid, processen en technologie. Zorg dat jouw organisatie compliant blijft en de privacy van je klanten respecteert.
Wil je hulp bij GDPR-compliance of bij het opstellen van een helder privacybeleid? Neem vandaag nog contact op met GX voor een vrijblijvend gesprek.