Gisteren tijdens de Webinar “Klaar voor de nieuwe privacywet”, deelde Beer Zand van Spotcap een aantal tips over hoe bedrijven het best met de nieuwe Algemene verordening gegevensbescherming (“AVG” of “GDPR”) dienen om te gaan. Hieronder zullen 4 tips van Beer Zand kort besproken worden.
Tip 1: Zorg ervoor dat je bewustwording creëert binnen je organisatie
“Het eerste advies dat ik ondernemers kan geven, is het creëren van bewustwording van de introductie en implicaties van de nieuwe privacy wetgeving. Dit is een praktisch advies en iets dat iedereen kan en eigenlijk: zou moeten doen. Uit onderzoek is gebleken dat nog maar weinig ondernemers op de hoogte zijn, dan wel daadwerkelijk aan slag zijn gegaan om de nodig maatregelingen te treffen om te voldoen aan de nieuwe wetgeving. Laat staan dat de werknemers weten wat voornoemde wetgeving inhoudt en hoe het hun werkzaamheden zal beïnvloeden.”
Tip 2: Hoe om te gaan met de regelgeving als je in meerdere lidstaten opereert
“Als je in meerdere EU lidstaten opereert, zou er mogelijk onduidelijkheid kunnen ontstaan in de communicatie met de toezichthouder bij inspectie of wanneer er iets gebeurt dat gemeld dient te worden. Om dat te voorkomen, moet je de toezichthouder in een van de landen waarin je opereert als leidende toezichthouder aanstellen. Bij de afweging welke toezichthouder je dient aan te stellen, is het goed om te kijken waar je bedrijfsactiviteiten gecentreerd zijn en waar de dataverwerking plaatsvindt. Zo kun je dicht op de bal zitten. Ook verschilt het niveau per land; Duitsland is bijvoorbeeld strikter dan andere lidstaten.”
“Natuurlijk kan het best voorkomen dat je interactie hebt met de autoriteiten in andere lidstaten, en het is ook goed om hen op de hoogte te houden. Je moet echter in ieder geval up-to-date zijn met de regels van de leidende autoriteit. Bijvoorbeeld in het geval van een datalek, dan moet je de toezichthouder binnen 72 uur informeren. Dat gaat makkelijker als je dichterbij bent met de operatie, korte lijntjes hebt en de taal spreekt. Een hele praktische overweging dus.”
Tip 3: Investeer in kennis en gebruik deze wetgeving als keurmerk
“Iedere organisatie die persoonlijke data verwerkt moet aan deze regelgeving voldoen en zal in de aanloop naar de implementatie in mei 2018 tegen dezelfde problemen aanlopen. Het is geen ‘nice-to-have’, maar een kritische hygiene-factor voor succesvol zakendoen en zal dus een grote impact hebben op het bedrijfsleven. Na de implementatie van deze wet zullen bedrijven die hun zaken goed op orde hebben dus ook zeker willen weten dat een bedrijf waar ze mee samenwerken dat ook heeft.”
Je kunt deze nieuwe regelgeving dus ook zien als kans om je te onderscheiden en het te gebruiken als keurmerk. Hiervoor zou je je organisatie kunnen laten certificeren door een extern advocatenkantoor. Dit is echter best een kostbare aangelegenheid. In de toekomst zal het aantal bedrijven dat daarin gespecialiseerd is naar verwachting flink stijgen, waardoor de kosten hiervan flink zullen dalen. Een andere mogelijkheid is om een ‘data protection officer’ aan te stellen binnen je organisatie, of althans, iemand verantwoordelijk te maken voor de correcte naleving van deze wet, die tevens een data-verwerkingsregister bijhoudt. Hoewel de aanstelling van een dergelijk persoon binnen de organisatie strikt genomen enkel vereist is wanneer je sensitieve data behandelt (zoals medische gegevens en biometrische data), geeft dit aan dat je het serieus neemt als organisatie en er actief mee bezig bent. Investeer vervolgens in de opleiding van deze persoon en zorg dat hij/zij beschikt over de juiste kennis en certificaten. Het kan natuurlijk altijd voorkomen dat er iets niet helemaal goed gaat. In dat geval is het belangrijk dat je kunt uitleggen welke technische, juridische en organisatorische procedures en maatregelen je neemt om er voor te zorgen dat je dat wel bent. Dit kun je gebruiken om te laten zien aan klanten, partners en de toezichthouder dat je voldoet aan deze regelgeving. Je straat hiermee vertrouwen uit.
Tip 4: Zorg dat privacy by default & design onderdeel van je cultuur wordt en dat je juridisch advies inwint bij het begin van ontwikkeling van nieuwe producten of markten.
“Privacy by default betekent in feite dat privacy altijd de standaard instelling is, tenzij anders aangegeven door de klant. Een praktisch voorbeeld hiervan is dat als je je aanmeldt als klant bij Spotcap, je niet automatisch wordt ingeschreven voor onze nieuwsbrief. Dit is overigens een geïntegreerd onderdeel van onze cultuur als financiële dienstverlener: zo communiceren wij slechts wanneer dit noodzakelijk is voor onze dienstverlening. Het is belangrijk om deze procedures door te lopen en ervoor te zorgen dat je de klant een duidelijke keuze geeft voor een opt-in en dit niet de standaard is.”
“Privacy by design houdt in dat je bij de ontwikkeling van je product of dienst rekening houdt met privacy verhogende maatregelen en dat je enkel de gegevens vraagt die noodzakelijk zijn om dit product of deze dienst aan te kunnen bieden. Ik noemde eerder al het geval waarin het geslacht van een persoon die bij ons een zakelijk krediet aanvraagt irrelevant is. Daar vragen we dus ook nooit om. Als onderdeel van de totale informatie die de basis vormt voor onze kredietanalyse kan het voorkomen dat wij een kredietrapport van een extern bureau opvragen. Om dat te kunnen doen hebben wij bijvoorbeeld de geboortedatum van een klant nodig; daarom vragen wij hier in dat geval dan ook naar. Voor bedrijven die bijvoorbeeld eten bezorgen hoeft dat niet nodig te zijn, in dat geval dien je daar dan dus ook niet om te vragen.“
“Een juridische analyse is bij ons altijd het vertrekpunt bij productontwikkeling of bij de lancering in een nieuwe markt. Door het juridische perspectief vanaf het begin te betrekken, en niet aan het einde, zorg je ervoor dat je binnen de kaders van de regelgever onderneemt en je niet voor verassingen komt te staan. Dit is doorgaans niet het favoriete onderwerp van ondernemers, maar wordt in toenemende mate cruciaal vanwege de toenemende complexiteit en de consequenties die kleven aan het niet juist naleven hiervan.”
Auteur: Stephan Djamin.