GDPR & AVG privacy wetgeving vs. marketing

Word jij dataprotection-officer of blijf je marketeer?

Per 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Niet alleen de IT afdeling heeft hiermee te maken. Ook de marketing/verkoop afdeling. Zeker als het gaat om klant en/of prospectdata en het gebruik daarvan. Wat mag jij met prospectdata wel en wat juist niet? Wanneer heb je te maken met verplichtingen, en welke? Wij proberen je onderstaand antwoord te geven op de meest voorkomende vragen. En wanneer jij een vraag hebt die er niet tussenstaat, schroom niet en neem contact met ons op!

Wanneer wordt deze wetgeving van kracht?

Op 4 mei 2016 is de algemene verordening gegevensbescherming (AVG) gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing.

Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG.  

Tijdens deze 2 jaar geldt in Nederland nog steeds de Wet bescherming persoonsgegevens.

Hoe kan ik me hierop voorbereiden?

Onderzoek alvast of u uw huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de algemene verordening gegevensbescherming (AVG). Bepaal ook of u een functionaris voor de gegevensbescherming (FG) moet aanstellen.

Moet u bijvoorbeeld een privacy impact assessment uitvoeren? Of is het nodig om privacy by design en privacy by default meer te integreren in de bedrijfsvoering?

Privacy door ontwerp en standaardinstellingen
De AVG introduceert een verplichting tot gegevensbescherming door ontwerp (privacy by design) en door standaardinstellingen (privacy by default).

Privacy by design
De verplichting tot privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor moeten zorgen dat persoonsgegevens worden beschermd.

Privacy by default
De verplichting tot privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

Bijvoorbeeld door:

een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Meldplicht datalekken
Zodra de AVG van toepassing is, zijn organisaties verplicht om datalekken te melden. Maar in Nederland bestaat de meldplicht datalekken al. Daarom levert dit geen grote wijzigingen voor u op.

Let op: onder de AVG is de drempel om een datalek te melden lager dan onder de huidige Wet bescherming persoonsgegevens. U moet dan elk datalek melden, tenzij er geen risico is voor de vrijheden en rechten van individuen.

Dat leidt er waarschijnlijk toe dat u vaker datalekken moet gaan melden dan nu. Het is daarom aan te raden om nu alvast te kijken of u uw huidige processen om datalekken te melden moet aanpassen.

FG aanstellen
Bepaal tot slot alvast of uw organisatie in de toekomst een functionaris voor de gegevensbescherming (FG) moet aanstellen. Zo ja, wacht dan niet te lang met het werven van een FG die aan de gestelde eisen voldoet.

Wat is een dataprotection-officer en wanneer moet ik deze aanstellen?

Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is, bent u verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen als uw organisatie:

een overheidsinstantie is (behalve rechtbanken bij het uitvoeren van hun rechtsprekende taak);
op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit van de organisatie is, zoals bij zorgverleners;  
op grote schaal mensen volgt (bijvoorbeeld bij profilering) en dit een kernactiviteit van de organisatie is.
Vrijwillige FG
Valt uw organisatie niet in een van deze categorieën? Dan mag u uiteraard ook vrijwillig een FG aanstellen. Let op: voor een vrijwillige FG gelden dezelfde regels als voor de verplichte FG.

De Autoriteit Persoonsgegevens zal samen met de andere Europese privacytoezichthouders uitleg geven over de voorwaarden voor en vereisten aan de FG.

Gezamenlijke FG
U mag met een groep organisaties een gezamenlijke FG aanstellen. Voorwaarde is dat deze goed bereikbaar is vanuit alle vestigingen.

Wat moet ik doen om compliant te zijn? (Privacy Impact Assesment)

Bent u van plan persoonsgegevens te verwerken en levert dit een groot privacyrisico op voor de betrokkenen (de mensen van wie u gegevens verwerkt)? Zodra de algemene verordening gegevensbescherming (AVG) van toepassing is, bent u verplicht om dan eerst een privacy impact assessment (PIA) uit te voeren.

Hierdoor krijgt u inzicht in wat de risico’s zijn en kunt u passende maatregelen nemen om deze te verkleinen.

Een PIA wordt ook wel data protection impact assessment (DPIA) of een gegevensbeschermingseffectbeoordeling genoemd.

Verplichte PIA
U bent in ieder geval verplicht om een PIA uit te voeren als u:

systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
op grote schaal bijzondere persoonsgegevens verwerkt;
op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
De Autoriteit Persoonsgegevens zal samen met de andere Europese privacytoezichthouders een lijst opstellen van alle soorten verwerkingen waarbij u verplicht bent om een PIA uit te voeren.

Meldplicht datalekken

Sinds 1 januari 2016 kennen we deze meldplicht al. Daar veranderd niet heel veel aan. 

Nieuw is dat de bewerker onder de GDPR verplicht is een datalek te melden aan de verantwoordelijke (bijvoorbeeld de opdrachtgever) en dat er pas een melding bij de toezichthouder hoeft te worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden.

Zijn de boetes daadwerkelijk zo hoog als men zegt?

Ja dat kan. Het is juist de GDPR die het voor de autoriteit persoonsgegevens mogelijk maakt hogere boetes op te leggen. 

En voorkomen is beter dan genezen, dus begin zo snel mogelijk met een Assesment en word compliant. Bedenk dat ook al zijn hier kosten mee gemoeid, het risico van een boete kun je in dit geval beter niet lopen.

Wat kan i4Sales voor mij betekenen?

Wij kunnen jou of jouw organisatie helpen om in ieder geval op marketing en grotendeels op sales gebied compliant te zijn.

Dit doen wij door het inrichten van bestaande middelen en daad waar nodig deze aan te passen. Tevens zullen er een aantal processen geïmplementeerd worden om, eens compliant, compliant te blijven.

Special voor jou hebben wij een marketing quickscan ontwikkeld waarmee we binnen een uur een goed idee hebben of en zo ja welk risico jouw organisatie op dit moment loopt. Bel, of mail!

Mag er nog telefonische acquisitie gepleegd worden?

Ja, uiteraard mag er nog telefonische acquisitie gepleegd worden. Er moeten alleen een aantal richtlijnen in acht genomen worden. Zo mag er niet zomaar naar een mobiel of rechtstreeks nummer van een contactpersoon gebeld worden. 

Wij kunnen u helpen met het opzetten en GDPR-ready maken van uw CRM en prospectbestand. 

Mag ik nog gebruik maken van Marketing Automation?

Ja, in de basis mag dit. Wel is het zo dat de opt-in en opt-out regels sterk veranderen. Daarnaast mag je niet zondermeer gebruik maken van AI (Artificial Intelligence) of het profileren van je opt-in's. 

Tijdens een gratis adviesgesprek vertellen wij je hier graag meer over!

Marketing compliancy quickscan

Speciaal voor marketing en sales hebben wij een quickscan ontwikkeld waarmee wij binnen een uur de risico's in kaart weten te brengen.

Laat hier je contactgegevens achter om een Quickscan in te plannen!

Ja ik wil een quickscan!

Versturen
i4Sales

i4Sales

Delen