De Wet bescherming persoonsgegevens (Wbp) wordt in mei 2018 veranderd.

De Nederlandse Wbp gaat dan plaatsmaken voor de Europese privacyverordening (AVG). De (Europese) toezichthouder is vanaf die tijd bevoegd om boetes uit te delen die kunnen oplopen tot 20 miljoen. Niet veel bedrijven lijken zich nog bewust van de grote verandering van deze wetswijziging terwijl het voor ieder bedrijf groot en klein wel consequenties heeft.
In dit artikel praten we je bij over de veranderingen en de acties die moeten worden genomen om je bedrijf klaar te maken.

Het grote verschil tussen de Wet Bescherming Persoonsgegevens en de GDPR is dat je méér informatie moet opslaan over de e-mail opt-in, zoals de datum en waar nu exact toestemming voor is gegeven. Als je niet beschikt over deze informatie dan is de e-mail opt-in ongeldig en loop je het risico op een boete.

1. Bewerkersovereenkomst:
Dit gaat nu een verwerkersovereenkomst heten, en geldt tussen de verantwoordelijke voor de persoonsgegevens, en de partij die de persoonsgegevens voor hem verwerkt (nu bekend als bewerker, straks verwerker zoals bijv Copernica). De bewerker zal voortaan niet meer een externe partij mogen inschakelen om persoonsgegevens te verwerken, zonder voorafgaande schriftelijke toestemming van de verantwoordelijke.

2. Rechten van betrokkene (right to access & to be forgotten)
De betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van zijn gegevens voor direct-marketingdoeleinden. Als de betrokkene een dergelijk bezwaar indient, dan mogen zijn/haar gegevens niet meer voor marketingdoeleinden worden verwerkt.

3. Privacy by design and by default
Producten en diensten moeten ‘privacy-proof’ ontwikkeld worden en ingesteld zijn. Tijdens het gehele ontwikkelingsproces van producten en diensten moet rekening gehouden worden met privacy. Dit kan door technieken als pseudonimisering toe te passen en door alleen noodzakelijke persoonsgegevens te verwerken.

4. Meldplicht datalekken
Concreet: op het moment dat er per ongeluk (of opzettelijk) data verloren gaan, of op straat terecht komen, moet dit binnen 72 uur aan de toezichthouder gemeld worden. Houdt het lek waarschijnlijk een hoog risico in voor de personen waar de gegevens betrekking op hebben? Dan moeten zij ook van het lek op de hoogte worden gesteld. Deze regelgeving is ook al vastgelegd in de Nederlandse wet.

5. Een Privacy Impact Assessment (PIA) verplicht uitvoeren?
Het uitvoeren van een Privacy Impact Assessment (PIA) is verplicht als het verwerken van persoonsgegevens. In de PIA wordt vastgelegd waarom, op welke manier en hoelang er persoonsgegevens verwerkt worden. Daarbij moeten de aanwezige risico’s in kaart gebracht en beoordeeld worden. In sommige gevallen is het zelfs verplicht om de PIA met betrokkenen te bespreken.

6. Organisatie verplicht een register bij te houden?
Een register bijhouden is niet verplicht voor organisaties met minder dan 250 medewerkers. Dat wil zeggen: tenzij er stelselmatig (bijzondere) persoonsgegevens worden verwerkt, of de verwerking een risico voor de betrokkenen heeft. Zowel de verantwoordelijke als de bewerker dient verplicht een schriftelijk (of elektronisch) register bij te houden, waarin alle activiteiten worden omschreven en waarbij persoonsgegevens worden verwerkt.

Concrete doelen en aandachtpunten:
Als het huidige e-mail opt-in-proces niet voldoet aan de GDPR-wet, dan kan de e-mail opt-in niet gebruikt worden vanaf 25 mei 2018. Van iedere e-mail opt-in moet de e-mailmarketeer in staat zijn om antwoord te geven op onderstaande vragen.

  • Hoe en wanneer is de e-mail opt-in verkregen?
  • Wie heeft de e-mail opt-in verkregen en in welke context?
  • Welke methode werd gebruikt? Was het opt-in of opt-out?
  • Was de informatie helder en begrijpelijk?
  • Hoe is de e-mail opt-in verstrekt? Achter een link, in een voetnoot, in een pop-up box of in een duidelijke verklaring naast een opt-in checkbox?

 

Wil je meer informatie lezen over de verschillende aandachtspunten van de nieuwe regelgeving lees dan dit artikel of kijk op de website van ICT recht