GDPR WTF

De Europese Privacywet en mijn website en bedrijf.

Wat moet ik met de GDPR!

De Europese General Data Protection Regulation

Met ingang van 25 mei treedt de Europese General Data Protection Regulation (GDPR) in werking, in Nederland de Algemene verordening gegevensbescherming (AVG) genoemd. Die vervangt de huidige Wet bescherming persoonsgegevens.

 

Het houdt de ondernemers (en ook ons) bezig. De één is heel laconiek en zegt, zien we dan wel weer en de ander is in grote paniek uit onwetenheid wat hij of zij moet doen.

Waarom is deze wetgeving er eigenlijk?

De reden van deze wetgeving is de afgelopen weken met de hele heisa rondom Facebook wel duidelijk geworden. Waar vroeger hooguit je visitekaartje werd doorgegeven, worden nu kopiën van je hele identiteit als een database record verkocht en kunnen all flarden aan informatie gekoppeld aan elkaar een complete identiteit in kaart brengen. De reden dus voor de Europese politici de bedrijven eens goed regels op te leggen netjes met jou en mijn gegevens om te gaan.

 

Gelden deze regels voor mij? Ik ben maar een kleine ondernemer tenslotte!

Deze regels gelden voor iedereen, hoe klein ook, die gegevens van personen verwerkt. Al zijn het alleen de adresgegevens van je klant maar. Dus ook jij valt hieronder. De wet is van toepassing op iedereen binnen Europa die gegevens verwerkt én iedereen die gegevens van personen binnen Europa verwerkt. Dus ook als dit buiten de EU gebeurt! Vanaf Mei 2018 is er dus één organisatie die zich hier mee bezig houdt en de landelijke instanties, zoals in Nederland het College Bescherming Persoonsgegevens vallen dan qua autoriteit onder dit Europese orgaan.

 

1 Bewerkersovereenkomst / Verwerkersovereenkomst

Heel nieuw is deze niet. Net als in de Nederlandse privacywetgeving is dit verplicht, maar helaas is dit bij heel veel bedrijven nog niet op orde. De naam wordt een verwerkersovereenkomst en is belangrijk voor de verantwoordelijke voor de persoonsgegevens en de partij die de persoonsgegevens voor hem verwerkt.  De bewerker zal voortaan niet meer een externe partij mogen inschakelen om de persoonsgegevens te verwerken zonder voorafgaande schriftelijke toestemming van de verantwoordelijke.

 

2 Recht op toegang tot gegevens

Transparantie voorop! Als jij voorkomt in een adressenbestand of met gegevens in een ander bestand dan moet je op voorhand geinformeerd worden wat er met je gegevens gebeurt. Dit moet ook in duidelijke taal gecommuniceerd worden. Naast het recht op verzet, inzage en rectificatie heeft de betrokkene nu ook het recht om vergeten te worden. De betrokkene heeft ten alle tijde recht om bezwaar te maken tegen verwerking voor doeleinden, zoals direct-marketing e.d.

3 Privacy by design en default

Tijdens de hele ontwikkeling van je product en diensten moet de privacy van je gebruiker voorop staan. Kortom : je wordt geacht om alle gegevens zo discreet mogelijk op te slaan, zo goed mogelijk te beveiligen.

4. Meldplicht datalekken

In de Nederlandse wet was deze ook al verplicht. Natuurlijk is voorkomen beter dan genezen, maar mocht er desondanks per ongelijk gegevens verloren gaan of op straat terecht komen, dan moet dit binnen 72 uur gemeld worden aan de toezichthouder. Is het lek een hoog risico voor de personen waarop de gegevens betrekking hebben? Dan moeten zijn ook op de hoogte gesteld worden. Denk bijvoorbeeld aan wachtwoorden of adresgegevens.

5. Het benoemen van de Privacy Officer

Deze is nieuw, maar niet verplicht voor iedereen! Verplicht voor overheidsinstanties en bedrijven die bijvoorbeeld op grote schaal mensen observeren of bijzondere persoonsgegevens verwerken (Ziekenhuizen of strafrechtelijke gegevens). De privacy officer is de persoon binnen de organisatie die toeziet op de omgang met de persoonsgegevens. Ook controleert hij of de organisatie voldoet aan de wet en toepasselijke regelgeving. De privacy officer moet onafhankelijk kunnen functioneren en mag zowel intern als extern worden ingesteld. De persoon moet deskundig zijn en zijn of haar contactgegevens moeten bij het CBP bekend zijn.

6. Ben ik verplicht een register bij te houden?

Nee, zolang je minder dan 250 medewerkers hebt is een register bijhouden niet verplicht. Tenzij er stelselmatig (bijzondere) persoonsgegevens worden bijgehouden of de verwerking een risico voor de betrokkene heeft. Vrij logisch dus. Op verzoek van de toezichthouder moet dit register overgedragen worden ter controle.

 

 

 

 

 

 

KORTOVERONS

Creative Development bestaat sinds 2005 en is gespecialiseerd in bestelsystemen, webwinkels en het ontwikkelen van maatwerk web applicaties. Van standaard website tot complete maat gemaakte systemen, niets is te gek. Daarnaast bouwen wij ook apps voor Android en Apple.

ONZEOPLOSSINGEN

Contactgegevens

Creative Development
Oekelsbos 54
4891 SL Rijsbergen
Zuid Holland
☎ 06 1888 2543
✉ info@creativedevelopment.nl