030-2209796

GDPR: antwoord op de belangrijkste vragen

In mei 2018 wordt er een nieuwe privacywet van kracht. Deze General Data Protection Regulation (GDPR) is een Europese regeling die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) vervangt. In het Nederlands heet deze wet de algemene verordening gegevensbescherming (AVG).

GDPR: antwoord op de belangrijkste vragen

In dit artikel beantwoorden we de belangrijkste vragen over de nieuwe wet.

Wat is GDPR?

GDPR is een privacywet die ervoor moet zorgen dat bedrijven de privacyrechten van individuen respecteren. GDPR biedt individuen meer controle over hun persoonlijke data, zorgt voor meer transparantie rondom het gebruik van data en vereist beveiliging en controles om data te beschermen. GDPR heeft impact op alle organisaties en alle processen van marketing en sales tot aan klantenservice en administratie.

Is GDPR ook van toepassing op mijn organisatie?

Ja. De wet is van toepassing op alle organisaties van elke grootte en iedere sector. Bij niet naleven van de wet kunnen er boetes worden opgelegd tot 4% van de omzet met een maximum van 20 miljoen euro.

Op welk moment gaat GDPR in?

Vanaf 25 mei 2018 moeten alle organisaties aan de wet voldoen. Het is een Europese regeling en niet slechts een richtlijn, dus hij is direct bij invoering geldig voor alle landen in de Europese Unie en ook van toepassing voor alle partijen daarbuiten die in de EU zaken doen.

Op welke data is de wet van toepassing?

GDPR is van toepassing op alle persoonsgegevens en gegevens die individueel of in onderlinge samenhang herleidbaar zijn tot een individu. Dat kan variëren van een naam, een foto, een e-mailadres, bankgegevens, posts op sociale media, medische gegevens, tot een IP-adres, een MAC-adres en trackingcookies van je website. Dit is nieuw ten opzichte van de oude privacywetgeving. Je moet dus grip krijgen op alle contactmomenten, kanalen en gegevens die worden vastgelegd.

Op welke data is de wet niet van toepassing?

GDPR is niet van toepassing op anonieme data of geanonimiseerde data, waarbij de gegevens die niet meer terug herleidbaar zijn tot individuen.

Is de privacywet ook van toepassing op zakelijke (B2B) contacten?

Ja. De regelgeving strekt zich uit tot alle persoonsgegevens die tot individuen herleidbaar zijn en maakt geen onderscheid tussen persoonlijke en zakelijke relaties. Dus als je een e-mail stuurt naar een info@ e-mailadres dan heb je geen toestemming nodig, maar voor een e-mail naar karel@website.nl dan heb je voortaan een expliciete opt-in toestemming nodig. Net zoals in de consumentenmarkt (B2C) moet je kunnen bewijzen met een audit trail dat je deze toestemming hebt verkregen en hoe deze is verkregen. De huidige praktijk om uit te gaan van impliciete toestemming (soft opt-in) waarbij je alleen de mogelijkheid van opt-out biedt is niet langer toegestaan.

Het uploaden van deelnemerslijsten van bijvoorbeeld events in de marketingdatabase of CRM-systeem is niet meer toegestaan zonder expliciete opt-in, evenals het gebruik van leadbestanden van derde partijen. Ook deze dienen opt-in compliant te zijn. Zelfs de persoonlijke contacten van verkopers kunnen niet zomaar toegevoegd worden aan de marketingdatabase of het CRM-systeem. Ook hiervoor zul je moeten kunnen aantonen wanneer en hoe er toestemming is verleend. Tenslotte ben je verplicht om te checken of alle partners waarmee je gegevens uitwisselt ook GDPR-compliant zijn voor wat betreft hun dataverzameling.

Zoals je hier leest heeft de nieuwe privacywet vergaande consequenties voor heel veel marketingactiviteiten. Klik hier om verder te lezen wat GDPR voor marketing betekent >>

Wat moet je doen volgens GDPR?

  1. Geef duidelijk aan welke gegevens je over een persoon opslaat, waarom, wat je ermee gaat doen en met welke organisaties je zijn gegevens deelt.
  2. Vraag expliciete toestemming voor elke vorm van gebruik die je van de gegevens gaat maken.
  3. Zorg voor adequate beveiligingsmaatregelen om de persoonsgegevens te beschermen tegen lekken en misbruik.
  4. Als je de data deelt met andere organisaties sluit dan met hen een verwerkersovereenkomst waarin je goede afspraken maakt over de beveiliging van de persoonlijke gegevens.
  5. Je blijft altijd verantwoordelijk voor de persoonsgegevens die je opslaat en verwerkt, dus controleer regelmatig of de gegevens adequaat beveiligd zijn.
  6. Geef ieder individu waarover je data opslaat de mogelijkheid om zijn gegevens in te zien, te corrigeren, te verwijderen en eenvoudig over te zetten naar andere organisaties.
  7. Meld een eventueel datalek direct aan de Autoriteit Persoonsgegevens.

Wil je meer weten over de basisprincipes achter deze regels? Klik dan hier voor een uitleg van de basisprincipes van GDPR >>

MEER LEZEN OVER GDPR:

Heb je vragen over GDPR of kun je wat hulp gebruiken om je database of CRM-processen op orde te krijgen? Neem dan contact met ons op.

WELLICHT OOK INTERESSANT

Ontvang tips en adviezen in je inbox