Vorige keer hebben we een korte inleiding gegeven over de GDPR en dat het belangrijk is voor elke organisatie die persoonsgegevens opslaat (en deze voor verschillende (marketing-)doeleinden gebruikt).
Wetgeving is eigenlijk altijd complex en soms is het lastig om de juiste interpretatie te achterhalen. Het is natuurlijk wel van belang dat je de juiste maatregelen treft om de data doeltreffend te beschermen. Maak het jezelf niet te makkelijk, maar zeker ook niet te moeilijk door maatregelen te nemen die helemaal niet op jouw bedrijf van toepassing zijn. Hieronder volgt een stappenplan hoe je het beste kunt starten om jouw organisatie klaar te stomen voor de GDPR.
Stappenplan
Stap 1: Bepaal of de GDPR van toepassing is bij de (zuster / dochter)organisatie.
Stap 2: Verdiep je in de GDPR zodat je goed onderbouwd de juiste acties kunt uitzetten om aan de wetgeving te voldoen (eventueel met behulp van externe hulp).
Stap 3: Breng alle datastromen bij jouw organisatie in kaart en maak een overzicht van waar alle persoonsgegevens worden opgeslagen.
Stap 4: Ga na waar jouw organisatie overal toestemming vraagt en waar je toestemming zou moeten vragen aan de eindgebruiker? Zijn deze teksten duidelijk en eenvoudig geformuleerd over wat er met de data die wordt verzameld gebeurd? (let op: je moet je klanten/gebruikers dus vragen om actief een vakje aan te vinken voor het gebruik van specifieke informatie)
Stap 5: Bepaal waar de gegeven toestemming wordt vastgelegd. Je moet kunnen bewijzen dat je rechtmatig toestemming hebt verkregen.
Stap 6: Zorg ervoor dat een gebruiker snel en eenvoudig inzicht heeft (bijv. via een dashboard in de data die door jouw organisatie wordt verzameld).
Stap 7: beoordeel of het privacy/security beleid van jouw organisatie in lijn is met de GDPR en het privacy risico van je contacten.
Stap 8 (indien nodig): pas het privacy statement van jouw organisatie aan en bedenk welke processen binnen jouw organisatie moeten worden aangepast om de rechten van betrokkenen te waarborgen
Stap 9 (extra): zet een documentatiesysteem op om aan te tonen dat jouw organisatie aan alle verplichtingen voldoet.
Stap 10 (extra): stel een protocol datalekken op, dat hoort bij jouw organisatie.
Stap 11 (extra): Stel procedures en processen op en train uw personeel om zodoende te kunnen bewijzen dat jouw organisatie voldoet aan de GDPR.
De stappen die zijn aangemerkt als ‘extra’ zijn meer van toepassing bij grotere organisaties (50+ FTE). Een tip die we meegeven is om te onderzoeken welke tools en hulpmiddelen er zijn waarmee je met relatief weinig inspanning al meteen aan de GDPR voldoet. Denk aan centrale opslag, veilig delen en automatisch auditen van al je documenten.
Let op: bepaalde data mag nooit gebruikt worden voor het maken van geautomatiseerde beslissingen. Hieronder vallen:
- - etnische achtergrond
- - politieke voorkeuren
- - religieuze of filosofische overtuiging
- - genetische data
- - biometrische data (als voor identificatie van een uniek persoon)
- - data over de gezondheid
- - iemands seksuele voorkeuren
Google analytics en GDPR
Maak je gebruik van Google Analytics lees dan hoe je Google Analytics die je gebruikt op jouw website ‘privacy vriendelijk’ maakt: lees meer.
Wacht niet te lang
Van organisaties wordt verwacht dat zij zelf hun bedrijfsvoering – en dus de verwerking en bescherming van persoonsgegevens – met de GDPR in overeenstemming brengen. Daarvoor heb je tot 25 mei 2018 de tijd.
Intiemere relatie met je klant: loyalty 3.0
De nieuwe wetgeving van volgend jaar biedt naast eventuele beperkingen ook een kans voor organisaties om te laten zien wat ze doen met de data die ze verzamelen. Wees open en eerlijk en geef aan met welk doel je de data verzamelt. Dit zorgt voor transparantie en duidelijkheid bij de gebruiker en leidt naar verwachting tot meer begrip.
De GDPR biedt mogelijkheden om door volledige openheid en transparantie het vertrouwen en, indirect, de portemonnee van de klant te winnen. Daar komt bij dat het eenvoudiger wordt om je data up to date te houden. Technisch gezien heeft dit nog wel wat voeten in de aarde, maar wie het voor elkaar krijgt, gaat ineens een heel andere, intiemere relatie met zijn klanten aan. Stel dat je iemand via zijn of haar persoonlijke account toegang geeft tot alles wat je over deze persoon weet. En hem/haar de mogelijkheid geeft om aanpassingen door te voeren en oude, ’irrelevante’ data te verwijderen.
Een deel van je klanten zal dan zoveel mogelijk data verwijderen en zorgen dat je zo min mogelijk over ze weet. Dat is, volgens de nieuwe wet, hun goed recht. De vraag is of ze dit echt gaan doen. Als je helder communiceert en de data gebruikt in plaats van misbruikt, gaan mensen je graag meer data geven. Ze hebben namelijk opeens inzicht in wat het oplevert. Zo creëer je een soort loyalty 3.0.
Enkele voorbeelden ter inspiratie:
Let op: dit is enkel een beknopte samenvatting van wat de GDPR nu werkelijk is en het stappenplan worden enkel de beginstappen vermeldt en gelden niet als bindend. Ons advies is dan ook om zelf nader onderzoek te doen om te beoordelen of u voldoet aan alle richtlijnen (evt. in samenwerking met een gespecialiseerd bedrijf).
Bronnen:
https://www.autoriteitpersoonsgegevens.nl/nl
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation
http://www.atvalley.nl/wat-is-de-gdpr/
https://digital-power.com/blogs/gdpr-voordelen-verscherpte-wetgeving-rondom-data-privacy
https://www.emerce.nl/achtergrond/gdpr-10-veranderingen
https://www.marketingfacts.nl/berichten/gdpr-de-gevolgen-voor-tracking-analytics
http://computerworld.nl/security/99570-checklist-zo-maak-je-jouw-data-gdpr-proof