AVG opvolger van Wbp in 2018

Beveiliging

AVG

Met ingang van 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De Wet bescherming persoonsgegevens (Wbp) wordt op die dag buiten werking gesteld. De huidige Europese privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Daarom is de Europese privacywetgeving herzien. Het resultaat is een Algemene Verordening Gegevensbescherming.

De ‘General Data Protection Regulation’ – zoals de AVG in het Engels heet, brengt voor bedrijven en organisaties de nodige veranderingen met zich mee. En het gaat hierbij ook niet alleen om digitale informatie die opgeslagen is , maar ook om traditionele papieren informatie die in uw bezit is ! Op het gebied van databasemarketing heeft Mister Mail in het kader van de nieuwe wetgeving al een aantal zaken op orde gebracht voor u. Onze ISO 27001 certificering is voldoende bewijs voor de wetgever dat u met ons een leverancier heeft die voldoet aan de wetgeving. Het naleven van wet- en regelgeving, ook wel ‘compliance’ genoemd, is bij ons geborgd. Toch is het belangrijk dat u zelf ook een aantal zaken op orde heeft.

Europese wetgeving i.p.v. nationale wetgeving
De Verordening is rechtstreeks van toepassing in alle EU-lidstaten en zorgt in heel Europa voor dezelfde regels rondom de beschermingvan persoonsgegevens. Het gaat dan om de persoonsgegevens van ‘betrokkenen die zich in de Unie bevinden’,ongeacht waar die gegevens worden verzameld of verwerkt. Bijvoorbeeld Amerikaanse bedrijven die buiten de EU persoonsgegevens verwerken van Europese burgers zijn ook gebonden aan de AVG.

Verwerken van persoonsgegevens.
Centraal in de AVG staat de “ rechtmatige, behoorlijk en transparante verwerking van persoonsgegevens”. Dat betekent o.a. dat:
• Persoonsgegevens niet ineens voor een ander doel worden gebruikt dan waarvoor ze zijn verzameld
• Alleen die persoonsgegevens worden verzameld die nodig zijn voor het leveren van een dienst
• Verzamelde gegevens juist zijn en zo nodig worden geactualiseerd
• Bewaren van de gegevens geschiedt in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor het doel van de verwerking noodzakelijk is.
• Er een waarborg is van een passende beveiliging

Toestemming.
Het ontvangen van toestemming (bijv voor het toesturen van een nieuwsbrief) moet onder de AVG ook een ‘ondubbelzinnige’ wilsuiting zijn. Dit houdt onder andere in dat toestemming uit een actieve handeling moet bestaan; geen vooraf aangevinkte hokjes meer. De vraag om toestemming te geven moet duidelijk en begrijpelijk zijn en in eenvoudige taal worden gepresenteerd. Als er toestemming voor meerdere doeleinden wordt gevraagd, dan moet daarvoor apart toestemming worden gevraagd. Als organisatie moet je uiteindelijk kunnen bewijzen dat de betrokkene toestemming heeft gegeven. De betrokkene heeft ten alle tijde het recht de toestemming in te trekken, en moet daar ook op worden gewezen. Kortom, iemand moet echt ‘actief ’ toestemming geven en dit mag niet verstopt zitten in bijvoorbeeld algemene voorwaarden.

Rechten van betrokkenen
Transparantie staat voorop: de betrokkene moet geïnformeerd worden over wat er met zijn persoonsgegevens gebeurt. Alles moet in eenvoudige en duidelijke taal worden gecommuniceerd. Naast het bekende recht op verzet, inzage en rectificatie, heeft de betrokkene onder de AVG ook het recht om vergeten te worden, het recht op overdraagbaarheid van zijn data (ook wel: dataportabiliteit), het recht de verwerking te beperken en het recht bezwaar te maken tegen bepaalde verwerkingen. De betrokkene heeft ten alle tijde het recht om bezwaar te maken tegen de verwerking van zijn gegevens voor direct marketing doeleinden. Als de betrokkene een dergelijk bezwaar indient, dan mogen zijn gegevens niet meer voor marketing doeleinden worden verwerkt.

Administratieplicht
Als organisatie moet je kunnen aantonen dat je voldoet aan alle verplichtingen uit de AVG. Denk hierbij aan de toestemming, gegeven informatie, rechten van betrokkenen, beveiliging van gegevens, minimalisatie van de verwerkingen en afspraken met bewerkers.

De Bewerker (in dit geval Mister Mail!)
Net als onder de Wbp is het onder de AVG verplicht om een overeenkomst af te sluiten met bewerkers. Nieuw is echter dat de AVG een aantal verplichte onderdelen van deze overeenkomst noemt, waaronder:

• het doel van de verwerking;
• het soort persoonsgegevens dat wordt verwerkt;
• de categorieën van betrokkenen;
• dat passende beveiligingsmaatregelen zullen worden genomen;
• dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt, en;
• na afloop van de verwerking vernietiging of retourneren van de persoonsgegevens aan de verantwoordelijke.
• Ook mag de bewerker niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de verantwoordelijke.

Meldplicht datalekken
Sinds 1 januari 2016 kennen we in Nederland de meldplicht datalekken. Deze meldplicht blijft onder de AVG nagenoeg gelijk. Nieuw is dat de bewerker (Mister Mail) onder de AVG verplicht is een datalek te melden aan de verantwoordelijke ( de opdrachtgever) en dat er pas een melding bij de toezichthouder hoeft te worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden. Onder de huidige Wbp moet er al een melding worden gedaan als niet kan worden uitgesloten dat er een onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.

Overtredingen en sancties
De AVG maakt het voor de Autoriteit Persoonsgegevens mogelijk hogere boetes op te leggen. De maximumboete (bijvoorbeeld voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan regels omtrent data-uitwisseling met niet EU-landen) is 20 miljoen euro of 4% van de wereldwijde omzet.

 

Consequenties van de nieuwe AVG wetgeving.

 

Naleving aantonen.
Bescherming van persoonsgegevens begint met de erkenning dat hiervoor bedrijfsregels nodig zijn. Vervolgens kunnen organisaties beleid opstellen, uitvoeren en medewerkers trainen. Minstens zo belangrijk is het te controleren of medewerkers (en management) het beleid en de regels naleeft. Je kunt natuurlijk regels opstellen wat je wilt, maar als niemand controleert of ze worden nageleefd, sta je nog met lege handen. Het gaat juist om die garanties die je moet kunnen afgeven met betrekking tot een juiste verwerking van zogenoemde ‘persoonsgegevens’. Een voorbeeld hiervan is dat gedocumenteerd moet zijn wat er gebeurt met de inlogrechten van een medewerker die het bedrijf verlaat zodat deze persoon geen toegang meer heeft tot de systemen.

Externe leveranciers.
Niet alleen binnen uw eigen organisatie moet u de bescherming van persoonsgegevens op orde hebben, maar dat geldt ook als u werkt met (externe) leveranciers. Wij zijn voor u de verwerker van uw (digitale) klantgegevens. U heeft in de nieuwe wet de plicht om na te gaan of de verwerker (ook wel de bewerker genoemd) voldoet aan de nieuwe eisen van het hebben van passende beveiligingsmaatregelen. Door onze ISO 27001 certificering hebben wij al meerdere jaren en meerder audits aangetoond dat informatiebeveiliging van uw (klant-) gegevens de hoogste prioriteit heeft. De ISO 27001 certificering is voldoende bewiijs voor de wetgever dat u met ons een leverancier heeft die voldoet aan de wetgeving. Het naleven van wet- en regelgeving wordt ook wel ‘complance’ genoemd, is bij ons geborgd.

 

Toch zelf doen, nu al

 

U kunt enkele zaken nu al zelf regelen op het gebied van e-mailmarketing en databasemarketing, die belangrijk zijn voor het voldoen aan de nieuwe wetgeving. Dit heeft met name te maken met het vastleggen, en daardoor kunnen aantonen, dat u de toekomstige abonnee heeft voorzien van de juiste informatie. Dat de abonnee in spe op voorhand weet wat er met zijn gegevens gebeurt en wat hij kan verwachten aan informatie. Wij sommen ze hieronder voor u op:

De registratietekst bij aanmelding.
Abonnees op uw nieuwsbrief kunnen zich via uw website of via inschrijfformulieren aanmelden voor het ontvangen van uw nieuwsbrief. Bewaar deze tekst en voorzie deze van een datum en versienummer en administreer dit (digitaal of print deze uit en berg op). Als u in de loop der tijd uw aanmeldtekst wijzigt, wijzigt ook het versienummer; dit doet u elke weer opnieuw vastleggen in uw administratie. De registratietekst op basis waarvan toestemming is verkregen worden dus vastgelegd als bewijslast. Bewaar ook de url van het gebruikte inschrijfformulier!

De privacyverklaring

– Op uw website staat een privacyverklaring; u moet uw bezoekers duidelijk informeren welke privacygevoelige gegevens u verzamelt en met welk doel. Dit gebeurt meestal via een privacyverklaring, ook wel privacy statement. In een privacyverklaring moet in ieder geval het volgende staan.

– Identiteit: U moet uw bedrijfsnaam vermelden, inclusief de adresgegevens van uw bedrijf en een contactadres voor privacygerelateerde vragen.
Doeleinden: Met welk doel worden persoonlijke gegevens verwerkt? Bijvoorbeeld het e-mailadres voor het toesturen van een dagelijkse/wekelijkse/maandelijkse nieuwsbrief. Worden de adresgegevens verstrekt aan derden, en met welk doel?

– Gebruik van cookies: Als uw site cookies gebruikt (wat vrijwel altijd zo is), dan bent u verplicht uit te leggen wat cookies zijn en wat u daarmee doet. Al is het maar mensen ingelogd laten.

– Inzage en correctie: Een klant heeft altijd recht op inzage in zijn gegevens. Daarbij kan hij verzoeken om correctie of verwijdering van zijn persoonsgegevens.

– Beveiliging: U moet toelichten welke technische en organisatorische maatregelen u heeft genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. U hoeft hierbij niet in detail te gaan zoals bijvoorbeeld in de volgende zin: “ De bescherming van privacy vinden wij zeer belangrijk. Onze applicaties en systemen zijn beveiligd conform de eisen van de huidige wet- en regelgeving”. Het is dan wel zaak dat dit ook zo is.

– Bezoekers moeten deze Privacyverklaring eenvoudig kunnen vinden. Plaats dus bijvoorbeeld een hyperlink naar de privacyverklaring onderaan elke pagina

Belangrijk: Als u in de loop der tijd uw privacytekst wijzigt, wijzigt ook het versienummer; dit doet u elke weer opnieuw vastleggen in uw administratie. De privacytekst op basis waarvan toestemming is verkregen wordt – evenals de registratietekst – dus vastgelegd als bewijslast.

Aanbevelingen.
De nieuwe wetgeving gaat verder dan alleen het stellen van regels en wetten op het gebied van e-mailmarketing of databasemarketing. Zoals al gezegd gaat het om hoe uw organisatie omgaat met alle persoonsgebonden informatie die in uw bedrijf of organisatie voorhanden is; van personeel, tot klanten, prospects, patienten, inwoners.

Mocht u meer informatie willen over consequenties van de invoering van de AVG in 2018 binnen uw bedrijf of organisatie, neem dan contact met ons op.

Meer info en handige FAQ: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/algemene-verordening-gegevensbescherming

De klanten van Mister Mail