Komende 28 mei komt de GDPR van kracht. Dit heeft consequenties voor alle bedrijven binnen Nederland, dus ook voor uw organisatie. In navolging van mijn eerste artikel van 5 december jongstleden geef ik u in deze blog meer informatie over de nieuwe wetgeving. En dan met name wat het concreet in de praktijk voor u gaat betekenen.

Hoe zat het ook al weer?

De GDPR versterkt de rechten van inwoners van de EU om te bepalen hoe met hun persoonsgegevens wordt omgegaan. Het zorgt dat bedrijven en instellingen transparant moeten zijn welke data zij verzamelen, hoe zij omgaan met data en waarvoor ze deze data gebruiken. De GDPR vereist dat bedrijven veiligheidsmaatregelen nemen en processen en procedures opstellen om data goed te beschermen. Mochten bedrijven met een duur woord “non-compliant” zijn (dus wanneer ze niet aan de regels voldoen) dan wordt er gedreigd met hoge boetes.

Samengevat komt de GDPR op het volgende neer:

Privacyrechten van burgers worden verbeterd
Meer verplichtingen voor het beschermen van data
Datalekken moeten gerapporteerd worden.
Hoge boetes als de wetgeving niet nageleefd worden.

De GDPR legt de regels op aan bedrijven, overheidsinstellingen, non profit-organisaties en alle andere instellingen, gevestigd in de EU die producten en diensten aan mensen binnen de EU aanbieden. Het gaat om alle bedrijven die data verzamelen (en dat is bijna iedereen), data analyseren of het gedrag van inwoners van de EU in de gaten houden. De GDPR is van toepassing op organisaties van alle mogelijke groottes (dus ook eenmanszaken) en in alle takken van industrie. Zeer grote kans dat het dus ook voor uw bedrijf van toepassing is.

Wat zijn persoonsgegevens?

Binnen de wet gaat het om persoonsgegevens, niet te verwarren met klantgegevens. Gegevens die u over uw bedrijfsklanten verzamelt vallen niet onder deze wet, tenzij dat de bedrijfsgegevens hetzelfde zijn als de persoonsgegevens (zoals bij een eenmanszaak).

De volgende zaken vallen bijvoorbeeld wel onder persoonsgegevens: naam, adres, e-mailadres, telefoongegevens, locatiegegevens, online identificatiemiddelen, gezondheidsinformatie, inkomen, cultureel profiel, seksuele geaardheid, etc. Maar ook alle gegevens die mogelijkerwijs tot een persoon zijn te herleiden zijn aan de orde, zoals IP-adres, unieke apparaat-ID’s en verder een reeks aan cookies.

En nu concreet: Wat moet ik doen?

Binnen de GDPR heeft de overheid bepaald dat u als bedrijf de rechten van mensen die hun gegevens aan u toevertrouwen moet beschermen. Dat betekent in de praktijk het volgende:

Zorg ervoor dat u ondubbelzinnig toestemming heeft voor het verwerken van persoonsgegevens.
U dient transparant te zijn over uw verwerking en gebruik van persoonsgegevens. Geef daarom aan waarom u gegevens verwerkt (bijvoorbeeld om de klant te kunnen benaderen wanneer de order gereed is). Geef aan welke gegevens u opslaat, hoe lang gegevens worden bewaard en wie de gegevens eventueel ontvangen.
U dient het verzamelen, verwerken en opslaan van persoonlijke gegevens te beperken tot de beoogde doeleinden.
Ook dient u de opslagduur van persoonsgegevens te beperken tot slechts zo lang als nodig is voor de beoogde doeleinden.
Geef mensen het recht om te worden vergeten. U bent verplicht personen in staat te stellen om hun persoonsgegevens te (laten) corrigeren, te laten verwijderen of door te geven aan een ander bedrijf. Ook moeten mensen zich gemakkelijk kunnen afmelden voor direct marketing die gebruik maakt van hun gegevens.
U moet er voor te zorgen dat persoonsgegevens beschermd zijn door gebruik te maken van geschikte beveiligingsmaatregelen. Met name als u gegevens heeft opgeslagen over gezondheid, ras, seksuele geaardheid, religie en politieke overtuiging.
Mocht er onverhoopt een inbreuk/ hack zijn van persoonsgegevens dan bent u verplicht om de mensen te informeren.
Mocht u toevallig gebruik maken van profilering voor het verwerken van aanvragen voor juridisch bindende overeenkomsten dan moet u aan bepaalde voorwaarden voldoen.
En tenslotte: mocht u gegevens doorgeven aan landen die niet goedgekeurd zijn door de EU-autoriteiten dan dient u juridische afspraken te maken.

Binnen WoonTotaal zullen wij er voor zorgen dat u voor wat betreft de gegevens die in WoonTotaal worden opgeslagen aan de regels voldoet. In een volgend artikel zal ik u hierover meer vertellen.