Zo snel mogelijk een data protection officer in iedere organisatie
De nieuwe Europese Algemene verordening gegevensbescherming (European General Data Protection Regulation) vervangt medio 2018 onze Nederlandse privacywet, de Wet bescherming persoonsgegevens. Organisaties doen er goed aan om nu met de voorbereidingen te beginnen, zo blijkt tijdens een voorlichting over de wet door marketingbranchevereniging DDMA. Zo moeten bedrijven onder de nieuwe regels een eigen ‘privacy-administratie’ bijhouden en een data protection officer aanstellen.
De nieuwe wetgeving verplicht organisaties die data als core business hebben een data protection officer aan te stellen. Daarmee kunnen ze beter niet wachten tot het laatste moment. Sébastien Houzé en Mathilde Fiquet van Europese marketingkoepel FEDMA: “Er staat het nodige te veranderen. Een implementatieperiode van twee jaar lijkt lang, maar organisaties moeten nu aan de slag”.
De nieuwe Verordening regelt tot in detail hoe je met data moet omgaan. Goed om te weten is dat dat de ideologie niet is gewijzigd: de basisprincipes zijn hetzelfde. Uitgangspunt van de wetgeving is transparantie en keuze, dat is in de Verordening niet anders. Wat met de komst van de Verordening wel verandert, is de zwaardere documentatieplicht. Organisaties moeten kunnen aantonen dat zij compliant gegevens verwerken.
Een privacy-administratie inrichten
“Je moet een ‘privacy-administratie’ gaan bijhouden”, licht Jitty van Doodewaerd van DDMA toe. “Als de toezichthouder hierom vraagt moet je de gegevensverwerking van je organisatie kunnen laten zien. Dus welke data verzamel ik, via welke bronnen, welke systemen gebruik ik, wie kunnen erbij en hoe zijn die systemen beveiligd.” Het goede nieuws is wel dat het Nederlandse bedrijfsleven door een strenge en actieve privacy toezichthouder al redelijk opgevoed is als het aankomt op privacy. Het meeste voorbereidende werk zal dan ook voortkomen uit de verzwaarde documentatieverplichting.
Wat je als organisatie nu kunt doen:
- Breng je datastromen in kaart
- Formuleer beleid op het gebied van privacy & security
- Maak goede schriftelijke afspraken met bewerkers in en buiten de EU
- Overweeg of een privacy officer nodig is, die stap 1-3 kan uitvoeren.
Compliance in de boardroom
De nieuwe regels zorgen ervoor dat privacy compliance een onderwerp wordt voor de boardroom. DDMA vindt het een goede ontwikkeling dat met een boete van maximaal vier procent van je wereldwijde omzet, privacy compliance een serieus bedrijfsrisico wordt. De verordening erkent daarnaast marketing als een gerechtvaardigd ondernemersbelang. Dit betekent dat organisaties nog altijd bepaalde gegevens mogen verzamelen zonder toestemming en dat zij deze mogen gebruiken voor marketing. DDMA heeft hier altijd voor gepleit. Voor nieuwe markttoetreders is het van belang dat zij potentiële klanten kunnen benaderen met een aanbod. Uiteraard moeten organisaties burgers wel klip en klaar vertellen waarom zij gegevens verzamelen en moeten mensen zich weer eenvoudig kunnen afmelden.
De toekomst wordt bepaald in Brussel
De Verordening is exemplarisch voor de toekomstige totstandkoming van nieuwe wetgeving. De toekomst wordt bepaald in Brussel. Steeds vaker zal Europa kiezen voor het instrument van een Verordening, waarbij de regels rechtsreeks gelden in de lidstaten. Het volgende dossier staat al op stapel: Een herziening van de cookie- en e-mailregels, in de E-Privacy Richtlijn.
Kijk voor meer informatie over de Europese Privacy Verordening in het juridisch loket op de DDMA website – dossier Privacy Europa.
De presentaties van de voorlichtingsbijeenkomst kun je hieronder downloaden:
*) Dit artikel is tevens gepubliceerd op de website van DDMA.
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond