GDPR: Heb jij je privacyverklaring al opgesteld?

Blog Datazekerheid Identiteit & veiligheid

Ernest Knoeff

Ernest Knoeff Marketing/Communicatie


Vanaf 25 mei 2018 moet ook jouw bedrijfsvoering aan GDPR (General Data Protection Regulation) voldoen. Deze wet, ook wel Algemene Verordening Persoonsgegevens (AVG) genaamd, is in het leven geroepen om persoonsgegevens te beschermen om onder andere de gevolgen van identiteitsfraude te beperken. In een aantal blogs leggen wij uit wat deze nieuwe wet inhoudt en waarin je wellicht aanpassingen moet doen. 
 
De GDPR vervangt de Wet bescherming persoonsgegevens (Wbp). De GDPR is een Europese privacy verordening die omschrijft dat persoonsgegevens moeten worden verwerkt op een manier die voor de betrokkenen rechtmatig, behoorlijk en transparant is. Dat wil zeggen dat de betrokkene weet dat zijn gegevens verzameld en gebruikt worden. Een groot verschil tussen de GDPR en de Wbp is de definitie van persoonsgegevens.
 
De GDPR is veel breder: alle directe en indirecte gegevens die kunnen leiden naar een natuurlijk persoon moeten beschermd worden. Denk daarbij niet alleen aan gegevens van klanten, maar ook aan IP-adressen, cookies of zelfs een reactie op een LinkedIn-bericht. Een bedrijf moet dus verantwoording afleggen wat het doet met persoonsgegevens (accountablility). Die verantwoording moet worden opgenomen in gebruikers- of verkoopvoorwaarden in de vorm van een privacyverklaring.
 

Privacyverklaring

Elke onderneming die omgaat met klantdata moet onderstaande punten in een privacyverklaring opnemen. Randvoorwaarde is ook dat deze moeten zijn geschreven in een heldere en duidelijke taal.
  • Identiteit van de onderneming;
  • Contactgegevens;
  • Doel en basis van gegevensverzameling;
  • Ontvangers van persoonsgegevens;
  • Hoe lang wordt data bewaard en wat is het criterium voor het bepalen van deze termijn;
  • Dat personen het recht hebben op inzage, rectificatie of verwijdering van hun gegevens;
  • Het recht om bezwaar te maken tegen verwerking van de persoonsgegevens;
  • Gegevens die verstrekt zijn met toestemming, moeten altijd ingetrokken kunnen worden;
  • Informatie inzake het doorsturen van persoonsgegevens naar een ander land buiten de EU;
  • Het recht om beklag te doen bij de bestuurder.
Bij de verwerking van persoonsgegevens is het ook belangrijk te melden dat de te gebruiken gegevens ook daadwerkelijk een doel moeten hebben. Er dient dus een wettelijke basis voor verwerking te zijn. 
 

Bewaartermijn

De GDPR omschrijft dat persoonsgegevens niet langer mogen worden bewaard dan 'strikt noodzakelijk' voor het doel waarvoor ze worden bewaard. Als er geen duidelijke bewaartermijn is te bepalen, dan dienen in de privacyverklaring criteria te worden vermeld die de bewaartermijn omschrijven. 
 
Er is echter wel een uitzondering: gegevens voor algemeen belang of wetenschappelijk of historisch onderzoek mogen langer bewaard worden dan noodzakelijk is voor het oorspronkelijke doel van de gegevensverzameling. 
 

Beveiliging

Uiteraard is het van groot belang dat persoonsgegevens op een veilige manier bewaard worden, zodat onbevoegden niet bij deze gegevens kunnen komen. Een groot aantal Microsoft producten binnen de Modern Workspace zijn zo ingericht dat zij helpen te voldoen aan de GDPR-regels. Zo helpt de Bitlocker in Windows 10 je om specifieke data te versleutelen en stelt Windows Information Protection je in staat de data op een hele schijf of computer te versleutelen. In een volgende blog zullen we verder ingaan op het beveiligen en vastleggen van data.