Waarom je nú al moet beginnen met de voorbereiding op de GDPR
Het gonst al een poosje in ondernemend Nederland: vanaf volgend jaar wordt er strenger gecontroleerd op het gebruik van persoonsgegevens door bedrijven. Vanaf 25 mei 2018 geldt de Europese ‘General Data Protection Regulation’ in Nederland. Deze nieuwe wet verplicht dat elk bedrijf – in bezit van persoonlijke gegevens van klanten, patiënten of leerlingen binnen de EU – deze op een specifieke manier verzamelt en beveiligt. Doet de ondernemer dit niet, dan staat er een stevige boete te wachten.
Data is van flinke toegevoegde waarde voor ieder bedrijf. Met de juiste informatie kunnen we inschatten wat klanten willen, welk koopgedrag de klanten vertonen en waar hun achtergronden en interesses liggen. De regelgeving voor het gebruik ervan wordt echter steeds strenger.
Momenteel geldt in Nederland de Wet Bescherming Persoonsgegevens. Deze wordt vervangen door een nieuwe wet, bepaald door de Europese Unie. Deze General Data Protection Regulation (GDPR) legt nieuwe regels op aan iedere organisatie die diensten of producten aanbiedt aan inwoners van de EU. Het doel: de privacy van klanten aanscherpen.
Personen krijgen het recht hun gegevens te corrigeren of te laten verwijderen. Bovendien moet iedere persoon ‘specifieke, vrij bepaalde en ondubbelzinnige toestemming geven, met kennis van zaken’. Oftewel: bij elk invulformulier, elke aankoop en iedere nieuwsbrief moet je als ondernemer voortaan specifiek uitleggen wat er met de verstrekte persoonsgegevens gaat gebeuren.
Mogelijkheden
Hoewel het lijkt alsof GDPR vooral beperkingen oplegt, is het een logisch gevolg van maatschappelijke ontwikkelingen. Burgers – die ook klanten zijn – vinden het steeds belangrijker te weten wat er gebeurt met hun persoonlijke gegevens. Privacy was nooit eerder zo’n hot topic.
De GDPR is bedoeld om privacyrechten van personen te waarborgen en te beveiligen. Het geeft inwoners van de EU het vertrouwen dat hun gegevens niet zomaar op straat komen te liggen. Privacy is een fundamenteel recht, en het is belangrijk om dit je clientèle te kunnen bieden.
De kunst is dus de beperkingen van deze wet om te draaien naar kansen. Zo kunnen verzoeken voor gebruik van persoonsgegevens een moment van klantcontact worden, is het vernieuwen van processen een mooie manier intern te innoveren en kun je als ondernemer het momentum aangrijpen om klanten te laten weten dat privacy en veiligheid ook voor jou belangrijk zijn.
Stappenplan voor de GDPR
Als je je volledige IT-landschap GDPR-proof wil maken, raden we je aan om snel te starten met optimaliseren. Liefst vandaag nog. Het is een klus alles te checken en goed te beveiligen. Maar het kan overzichtelijk. Met dit stappenplan helpen we je op weg.
1) Geldt deze wet ook voor mijn organisatie?
Allereerst is het belangrijk te inventariseren welke persoonsgegevens je hebt en waar deze worden opgeslagen. Persoonsgegevens zijn volgens de wet: ‘alle gegevens over een geïdentificeerde of identificeerbaar natuurlijk persoon’. Denk aan: klantendatabases, feedbackformulieren, e-mailcontent, foto’s, CCTV-videobeelden, klantbestanden van loyaliteitsprogramma’s, HR-databases. Noem het maar. Heb je ergens gegevens in beheer? Heel simpel: dan is de GDPR op jou van toepassing.
2) Controleer of persoonsgegevens juist worden gebruikt
De volgende stap is een gegevensbeheerplan. Hoe worden gegevens nu gebruikt? Wat wordt je nieuwe beleid voor gegevensverwerking? Wie is waar verantwoordelijk voor? En wie krijgt toegang tot welke gegevens? Zorg dat alles wat nog niet binnen de regels van de GDPR gebeurt, wordt geoptimaliseerd. Zo weet je zeker dat je binnen de lijntjes kleurt. En als je nu een goede structuur neerzet, scheelt dat straks kopzorgen.
3) Stel beveiligingscontroles in
Het is bekend dat hackers azen op persoonsgegevens, maar ook fysieke inbraak, frauduleuze werknemers of verlies zonder opzet vormen een ondernemersrisico. Als er iets mis gaat met je beveiliging moet je daarvan volgens de nieuwe wet binnen 72 uur melding maken en in sommige gevallen zelfs je klanten inlichten. Dat wil je liever voorkomen. Door risico’s in te schatten, een scherp controleplan te maken en maatregelen te nemen – zoals wachtwoordbeveiliging, auditlogs en encryptie – kun je de gegevens beschermen.
4) Leg alles vast – en rapporteer
De GDPR verplicht je vast te leggen hoe je omgaat met persoonsgegevens. Dus: wat komt er binnen, waar worden gegevens voor gebruikt, wat is de bewaartijd. Maar ook: met welke externe partijen deel je gegevens, welke serviceproviders gebruik je en wie zijn er binnen jouw organisatie op de hoogte van de gegevensbestanden. Leg ook eventuele inbreuk op gegevens vast, meldt het, en bewaar alle vereiste documentatie. Door audittools te gebruiken, kun je voldoen aan de voorwaarden. Zo weet je zeker dat alle gegevensverwerking wordt bijgehouden en opgeslagen.
