Privacy is de nieuwe marketing-P

Dat zegt Rob Koch van Sebyde Security. Hij verzorgde op 18 oktober een lezing over de AVG en datalekken. Op 25 mei 2018 ging de AVG in; de Algemene Verordening Gegevensbescherming. Je hebt al met de AVG te maken door het uitsturen van een offerte, factuur of (digitale) nieuwsbrief. Of door het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie.

Het is een belangrijk recht van burgers dat er verantwoord met hun persoonlijke gegevens omgegaan wordt. Door die gegevens veilig te stellen, bescherm je je relaties. Het op orde hebben van de verordening gegevensbescherming is daarmee, naast plaats, prijs, product en prestatie, de nieuwe marketing-P geworden, aldus Rob Koch.

Persoonsgegevens verwerken

Persoonsgegevens zijn die gegevens die zijn te herleiden tot een ‘natuurlijk persoon’. Hieronder vallen voor de hand liggende zaken zoals naam, adres en woonplaats, maar ook dingen als burgerservicenummer, etnische achtergrond, godsdienst, politieke gezindheid, medische gegevens, strafrechtelijk verleden en seksuele geaardheid.

Verplichtingen

Bedrijven moeten organisatorische en technische maatregelen nemen om aan de AVG te voldoen en ze moeten dat ook kunnen aantonen. De Autoriteit persoonsgegevens kan sancties opleggen van maximaal 20 miljoen euro of 4% van je wereldwijde omzet als je je niet houdt aan de nieuwe privacywetgeving. Voor veel grote organisaties is het een enorme klus om te voldoen aan de AVG. Waarom? Omdat ze geen idee hebben wat ze eigenlijk allemaal doen met persoonsgegevens, vertelt Koch. Die organisaties zijn erg kwetsbaar voor incidenten. Immers: als je niet weet wat je hebt kun je het ook niet beschermen. Echter, voor kleine organisaties met weinig verwerkingen die geen bijzondere persoonsgegevens verwerken is er geen reden om de AVG als een blok aan het been te zien. Het is een extra manier om je betrouwbaarheid te laten zien aan je klanten.

Praktische tips

Ben jij al AVG-proof? Met de volgende tips kun je meteen aan de slag.
Zorg dat iedereen in je onderneming bekend is met de nieuwe privacyregels. Hou rekening met de extra privacyrechten voor personen, zoals het recht op inzage en het recht op correctie en verwijdering. Maak inzichtelijk welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang tot de gegevens hebben. Als je gegevens verwerkt met een hoog privacy-risico is het nodig een data protection impact assesment te doen. Hiermee voldoe je aan de verplichting om de risico’s van gegevensverwerking vooraf in kaart te brengen. Hou bij het ontwerpen van nieuwe producten rekening met de bescherming van privacygevoelige informatie. Verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel. Verwerk je op grote schaal persoonsgegevens? Dan ben je verplicht om een functionaris gegevensbescherming aan te stellen. Evalueer de procedures binnen jouw organisatie voor het vastleggen en melden van datalekken. Je bent verplicht om alle datalekken te melden en te documenteren. Verwerken andere organisaties persoonsgegevens voor jouw bedrijf? Zorg dan voor een bewerkersovereenkomst met die organisaties. De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Je moet kunnen aantonen dat er geldige toestemming is verkregen, hoe die verkregen is en hoe je hem registreert.

Meer informatie?

De slides die Rob Koch gebruikte in zijn presentatie zijn gestuurd aan alle Zakenvrienden. Uiteraard is hij bereid deze nader toe te lichten in een vervolgsessie. Voor meer informatie, checklists en hulpmiddelen kun je ook terecht op o.a. de sites van de Autoriteit Persoonsgegevens en die van de Kamer van Koophandel.

Tekst: Sandra Goutier, All Text Power