Harvest Blog

Het laatste nieuws over marketing automation.

General Data Protection Regulation (GDPR) – Wat betekent dit voor mijn organisatie?

Op 25 april 2018 treedt er een nieuwe wet in werking binnen de EU, de General Data Protection Regulation. Wat houdt dit precies in en wat kan dit voor uw bedrijfsvoering betekenen? Wij hebben de belangrijkste punten op een rijtje gezet.

De General Data Protection Regulation, ook wel GDPR of AVG (Algemene Verordening Gegevensbescherming) genoemd, is een algemene regelgeving omtrent het beheer, gebruik en delen van privacygevoelige data. Deze nieuwe regelgeving is van toepassing op alle organisaties binnen de EU die werken met privacygevoelige data, alsmede organisaties die gegevens van burgers uit de Europese Unie verwerken. Het doel van de GDPR is om persoonlijke gegevens van individuen in de EU beter te beschermen.

Voor een professioneel beheer van persoonlijke gegevens zijn er verschillende aspecten waarmee rekening gehouden moet worden.

1. Gegevens verzamelen
Allereerst moet iedere gebruiker voor de keuze gesteld worden of zij hun data beschikbaar willen stellen en of deze data gebruikt mag worden voor duidelijk omschreven doeleinden. Hierbij is het van belang om gebruik te maken van helder en duidelijk taalgebruik. Wie heeft toegang tot de data? Waarom en hoe lang wordt deze data opgeslagen? De verwerker van gegevens moet tevens aan kunnen tonen dat de gebruiker daadwerkelijk akkoord heeft gegeven voor het toepassen van deze data binnen de gestelde kaders.

2. Gegevens beheren
Gebruikers hebben tevens “het recht om inzicht te krijgen en vergeten te worden”. Dit houdt in dat elke gebruiker het recht heeft zijn / haar data bij de desbetreffende organisatie op te vragen en wanneer gewenst deze te laten verwijderen. Dit moet even makkelijk zijn als het proces waarin de gebruiker akkoord is gegaan met het beheer van de gegevens.

N.B. Voor het verzamelen van bijzondere gegevens (etnische achtergronden, religieuze overtuigingen etc.) gelden striktere regels. Op hoge uitzondering na is het niet toegestaan deze gegevens op te slaan.

3. Gegevens beveiligen
Iedere organisatie die persoonsgegevens verwerkt, heeft de verplichting om te zorgen dat deze data veilig is, beschermd is tegen diefstal of toegang zonder toestemming. Op dit moment kennen we in Nederland al de meldplicht van datalekken. Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens. Wanneer dit tevens implicaties heeft voor de betreffende individuen dan moeten ook deze op de hoogte worden gebracht. Belangrijk is dus om de veiligheid van dat binnen uw organisatie nog eens goed onder de loep te nemen.

Data Protection Impact Assessment (DPIA): het beschermen van persoonsgegevens moet doorgevoerd worden in alle aspecten van de bedrijfsvoering, zowel technisch als binnen de organisatiestructuur. Analyseer, test en evalueer de manier waarop data binnen uw organisatie veilig wordt gesteld. Institutionaliseer deze bevindingen en maatregelen in een document genaamd Data Protection Impact Assessment. U bent dan ook verplicht dit assessment uit te voeren.

Data Protection Officer
Om toe te zien op de privacyregeling binnen een organisatie kan een Data Protection Officer (DPO) aangesteld worden. Het aanstellen van een DPO is verplicht voor overheidsorganisaties en organisaties die op grote schaal persoonsgegevens verwerken. Op dit moment bent u nog vrij om te bepalen of u iemand aanwijst als DPO. Deze persoon houdt toezicht op het gebruik, verzameling en bescherming van persoonsgegevens binnen gestelde wetgeving. Bij het verplicht stellen van de aanwezigheid van een DPO komen ook een aantal bevoegdheden om de hoek kijken. Ten eerste moet de DPO kundig zijn en daarbij inzicht krijgen in processen binnen uw organisatie – toegang hebben tot alle data. De DPO moet de tijd en  middelen krijgen om zijn / haar taken uit te kunnen voeren. De DPO moet direct in contact staan met het hoogste management. De DPO moet onafhankelijk kunnen acteren en niet andere functies bekleden die te maken hebben met besluitvorming op het gebied van verwerking persoonsgegevens. Het vastleggen van de taken en verantwoordelijkheden van de DPO is dan ook noodzakelijk.  

GDPR benutten
Terwijl de GDPR veel noodzakelijke wijzigingen vereist, kunnen er ook de vruchten van geplukt worden. De nieuwe regelgeving verplicht organisaties om nauwkeurig naar het informatiebeheer te kijken. Omdat voor elke informatieverrijking toestemming nodig is, zal er minder maar relevantere informatie verzameld worden. Daarnaast zal door de transparantie van de gegevens het vertrouwen bij de gebruiker toenemen

Wil jij weten of de GDPR ook voor jou geldt en hoe jouw organisatie privacygevoelige data professioneel kan beheren? Neem deel aan onze kennissessie over de GDPR.

Meld je aan!

 

 

How to Find, Win and Keep Your Customers in the most innovative way - Een terugblik

Geef een reactie