Per 25 mei 2018 gelden voor elke onderneming nieuwe regels met betrekking tot privacy en gegevensbestanden.
Eerst maar in het kort:
| Nieuwe regels voor gebruik cookies. Uitleg en mogelijkheid om ze uit te zetten verplicht.
| Privacyreglement bij webshops, websites en apps die gegevens verzamelen.
| Bedrijven moeten een protocol hebben waarin staat hoe je met zulke gegevens omgaat.
| Je moet kunnen aantonen hoe je aan de gegevens komt.
| Hoge boetes bij overtreding van de nieuwe regels.
| Ingangsdatum: 25 mei 2018.
Per 25 mei 2018 moeten alle ondernemers, inclusief zzp’ers en eenmansbedrijven, voldoen aan de nieuwe Europese regels met betrekking tot privacy via online media en in gegevensbestanden.
De privacy op internet in al zijn verschijningsvormen wordt geregeld via de E-privacy-richtlijn, terwijl de Algemene verordening gegevensbescherming (AVG, in het Engels GDPR) geldt voor de manier waarop gegevensbestanden worden gebruikt en beheerd.
Het is voor elke ondernemer, ongeacht de grootte van het bedrijf, verplicht om zich aan deze regels te houden.
Verzamel of gebruik je in het geheel geen privé-gegevens van websitebezoekers, of maak je geen gebruik van cookies op je website, dan is er verder niets aan de hand.
Maakt je website gebruik van cookies – en elke webshop doet dat – dan ben je verplicht om dat te melden. Uitgezonderd zijn de zogeheten functionele cookies die nodig zijn om de website of -shop te laten functioneren. Ook de cookies die nodig zijn voor de algemene bezoekstatistieken hoeven niet te worden gemeld.
Als je cookies gebruikt dan moet het voor de bezoeker mogelijk zijn om die uit te zetten, waarna hij of zij toch de website of webshop kan bezoeken of de app gebruiken. Ook hier geldt de uitzondering voor de functionele cookies. Voor websites en webshops moet dat via een nieuwe en eenvoudige functie in de browsers, die daar door de browserontwikkelaars aan moet worden toegevoegd. Maar als je gebruik maakt van apps, zul je dit moeten laten aanpassen.
Als je site-cookies gebruikt, moet je een privacyreglement op je site tonen waarin je uitlegt welke cookies je gebruikt en met welk doel, welke gegevens je vastlegt en waar je die voor nodig hebt.
Dat is het belangrijkste verschil met de huidige Nederlandse wetgeving. Verder blijft het volgende onveranderd:
- Je mag mailen naar bestaande klanten waarmee je een “factuurrelatie” hebt.
- Je mag niet ongevraagd mailen naar bedrijven of personen die nog geen klant zijn.
- Je mag mailen naar bedrijven of personen die zich voor je nieuwsbrief hebben aangemeld.
- Je mag niet mailen over onderwerpen waarvoor iemand zich niet heeft aangemeld of waar de factuurrelatie niet voor bestaat. Dus als je zeilboten verkoopt mag je hierover, en over de diverse benodigdheden, mailings versturen. Maar niet over de koffiemachines die je later ook wilt gaan verkopen en waarvoor je geen toestemming hebt gekregen.
- Als iemand zich wil afmelden, moet je zorgen dat dit ook gebeurt. Hiervoor moet je een afmeldmogelijkheid op je nieuwsbrief hebben.
Maar let op! Hier stopt je verantwoordelijkheid niet…
Behalve de E-privacy richtlijn treedt per 25 mei 2018 treedt ook de Algemene verordening gegevensbescherming in werking. Deze geldt, net zoals de E-privacy richtlijn, voor alle landen in de EU. Hiermee heb je te maken als je klantbestanden met persoonsgegevens aanlegt, of dat nu voor een nieuwsbrief of je webshop is. Aan het bewaken van de privacy van personen die in die bestanden staan, worden strenge eisen gesteld.
- Je moet voor je organisatie een protocol opstellen waarin duidelijk is, wie toegang heeft tot de informatie (denk daarbij bijvoorbeeld ook aan je IT-bedrijf dat de database zou kunnen inzien), en hoe je de bestanden opslaat en beveiligt.
- Je moet kunnen aantonen hoe je aan de gegevens van de betreffende personen komt en dat zij toestemming hebben gegeven om hun gegevens vast te leggen.
- Wil iemand weten wat je over hem of haar hebt vastgelegd, dan moet je die informatie geven en eventueel laten zien.
- Als iemand zijn gegevens wil laten verwijderen, dan moet je daar gehoor aan geven (met uitzondering van eventuele wettelijke verplichtingen natuurlijk).
- Leg alleen de minimaal benodigde informatie vast.
- Als je het vermoeden hebt dat de bestanden zijn ingezien door onbevoegden, als je systeem is gehackt of als je bijvoorbeeld een usb-stick met zulke data hebt verloren, dan moet je dat melden bij de Autoriteit persoonsgegevens.
- Werk je met een extern bedrijf of deskundige bij het beheren of verwerken van zulke data, let er dan op dat deze met jou een zogeheten bewerkersovereenkomst opstelt. Als eigenaar/opdrachtgever blijf je altijd verantwoordelijk voor wat er met zulke data gebeurt, en zo’n overeenkomst helpt om problemen achteraf te voorkomen.
- Werk je voor het beheren of bewerken van zulke bestanden samen met een bedrijf of deskundige buiten de EU? Dan voldoet op dit moment de wetgeving van de volgende landen aan de eisen die de AVG stelt: Andorra, Argentinië, Canada (met uitzondering van onder meer Quebec), Faeröer Eilanden, Guernsey, Isle of Man, Israël, Jersey, Uruguay, Verenigde Staten. Maar vergewis je er wel van of het betreffende bedrijf of deskundige ook werkt volgens de geldende regels. Zo kunnen Amerikaanse bedrijven aangeven of ze voldoen aan de EU-USA Privacy Shield.
Overigens geleden deze verplichtingen niet alleen voor internet gerelateerde gegevens, maar voor alle gegevensbestanden die je gebruikt. Dus bijvoorbeeld ook voor je personeels- en salarisadministratie en voor de klantenbestanden die je in je administratie hebt verzameld via je fysieke winkel.
Het is verstandig om, als je dat nog niet hebt gedaan, nu in kaart te brengen met welke gegevensbestanden je werkt en welke actie je moet ondernemen om alles in overeenstemming met de E-privacy-richtlijn en de AVG te brengen. Want bij overtreding van de regels kunnen de boetes aanzienlijk zijn.
Disclaimer: aan dit overzicht kunnen geen juridische conclusies worden ontleend. Dit overzicht is gebaseerd op de informatie uit verschillende openbare bronnen. Deze materie is uitermate complex, waardoor het verstandig kan zijn om een jurist te raadplegen, bijvoorbeeld bij het opstellen van een bewerkersovereenkomst.
Foto: Leila Haj-Hassan / Freeimages.com