Verzamel jij klantengegevens? Voldoe dan aan de nieuwe regels van de AVG!

Als je een bedrijf hebt, is de kans groot dat je klantenservice verleent. Zo niet, dan horen we graag van je hoe je dit klaarspeelt. Maar wanneer je klanten hebt en met ze in contact staat, dan heb je te maken met klantengegevens: persoonlijke informatie zoals naam, adres, e-mailadres en telefoonnummer, maar ook bankrekeningnummers en uitgaven. Deze informatie is gevoelig en moet beschermd worden. En datzelfde geldt overigens ook voor je medewerkers, contactpersonen en andere mensen waarvan je dit soort informatie opslaat. Daarvoor is er nieuwe privacywetgeving opgesteld: de General Data Protection Regulation (GDPR) of in het Nederlands: de Algemene verordening gegevensbescherming (AVG).

De AVG vervang de Wet bescherming persoonsgegevens (Wbp) uit 2001 en vanaf mei dit jaar moet iedere organisatie aan de nieuwe regels uit de AVG voldoen. Op de website van de Autoriteit Persoonsgegevens (AP) kun je alle informatie over de nieuwe regelgeving bekijken. In mei 2016 zijn deze regels al van kracht gegaan, maar er is ongeveer twee jaar voor uitgetrokken om organisaties zich te laten aanpassen. In mei dit jaar kan niemand er meer aan ontkomen: iedereen moet dan aan de nieuwe AVG voldoen.

De exacte datum dat jij je zaken op orde moet hebben is 25 mei 2018. Informatie zoals e-mailadressen en uitgavenpatronen is heel handig om te hebben, want je kan het in je voordeel gebruiken. Voor marketingdoeleinden bijvoorbeeld. Maar deze informatie is ook privacygevoelig en hiermee dien je zorgvuldig om te gaan. Zo mag deze informatie niet op straat komen te liggen en mag je deze informatie niet zomaar doorverkopen aan derde partijen.

Wat is de AVG?

De AVG is gepresenteerd op 4 mei 2016 en trad 20 dagen later in werking. Organisaties (groot en klein) die op welke manier of in welke hoeveelheid dan ook persoonsgegevens opslaan en verwerken moeten op 28 mei aan de regels voldoen. Er is een overgangsperiode van ongeveer 2 jaar aangehouden om alle organisaties voldoende tijd te geven om zich voor te bereiden en alle processen op orde te kunnen maken. De AVG is bedoeld om persoonlijke informatie van EU-inwoners te beschermen. Alle regels van de verordening zijn dan ook hetzelfde voor alle landen in de EU.

Voor wie geldt de AVG?

Het gaat hier om regels voor de manier waarop organisaties met deze persoonsgegevens omgaan, om precies te zijn hoe ze deze verzamelen, opslaan en beheren. Hiervoor zijn bepaalde regels opgesteld die inwoners van de Europese Unie moeten beschermen. Deze inwoners hebben met de verordening meer controle over hun gegevens en meer zekerheid dat hun informatie beschermd wordt binnen Europa. Hierbij maakt het niet uit of de verwerking van die data binnen de EU plaatsvindt of niet.

Om wat voor soort informatie gaat het?

Het gaat hier niet per se om alleen persoonlijke gegevens zoals naam, e-mail, adres en telefoonnummer. Ook persoonlijke voorkeuren, unieke dingen waarmee je identificeerbaar bent en je digitale voetafdruk (in het Engels digital footprint) zoals cookies vallen onder de noemer ‘persoonlijke informatie’. Het gaat om het soort klanteninformatie die je in je CRM-systeem zou zetten. Indien jij een van bovenstaande soorten informatie van (potentiële) klanten verzamelt, is dit artikel voor jou bedoeld. Je moet namelijk aan de AVG-eisen voldoen vóór 25 mei 2018, anders loop je risico op een fikse boete.

Fikse boete voor schenden AVG

En geloof ons wanneer we zeggen dat je die boetes van de AVG liever vermijdt. Het totaalbedrag van een boete voor het schenden van de regels van de AVG kan tot 4% van de totale, wereldwijde jaaromzet zijn en kan oplopen tot wel €20 miljoen. Een boete kan worden opgelegd wanneer een bevel van de toezichthouder niet wordt opgevolgd of wanneer er regels zijn geschonden met betrekking tot de informatie of rechten van betrokkenen. Er zijn verschillende boetes; het bovenstaande is het maximum oplegbare bedrag.

Voordelen AVG voor organisaties

Het is altijd lastig wanneer er dingen veranderen, zeker wanneer het wetten betreft. Heb je eindelijk alles op orde, moet het weer allemaal anders. De AVG brengt veranderingen met zich mee, maar voor jouw organisatie heeft dat ook voordelen. De regels zijn veel meer gericht op de digitale wereld waarin we vandaag de dag leven. En wanneer je zakendoet met verschillende landen binnen de EU, hoef je geen rekening meer te houden met verschillende regels.

Alles binnen de EU is vanaf 25 mei 2018 hetzelfde. Dat brengt minder kosten met zich mee en ook ben je minder tijd kwijt aan administratie. Je hebt meer rechtszekerheid en er is minder oneerlijkheid omdat alle bedrijven en organisaties binnen de EU aan dezelfde regels moeten voldoen. En voor iedereen geldt er één leidende toezichthouder, welke verantwoordelijk is voor het toezicht.

Wat betekent de AVG voor organisaties?

Oké, dus wat houdt deze nieuwe regelgeving dan precies in? Op de website van de Autoriteit Persoonsgegevens is te lezen dat met de AVG:

  • privacyrechten worden versterkt en uitgebreid,
  • organisaties meer verantwoordelijkheid hebben in deze kwestie, en
  • alle Europese privacytoezichthouders dezelfde bevoegdheden hebben (bijvoorbeeld tot het opleggen van boetes).

Met de nieuwe regels wordt er dus meer nadruk gelegd op de verantwoordelijkheid die organisaties hebben bij het verwerken van persoonsgegevens. Zo moet je kunnen aantonen (met documenten!) dat je de juiste maatregelen hebt getroffen om aan de nieuwe regels te voldoen. Maar ook krijgen organisaties meer hulpmiddelen om op de juiste manier met persoonsgegevens om te gaan. Verder is het volgende te lezen op de website van de AP:

Rechten voor de klant

Met de regels krijgen mensen (klanten, contactpersonen, personeel) meer zekerheid in de vorm van privacyrechten: het recht op vergetelheid en het recht op dataportabiliteit. Toestemming is een belangrijk onderdeel van de nieuwe regels. De klant moet namelijk nadrukkelijk toestemming geven voor het verwerken van hun persoonlijke gegevens door organisaties. En die toestemming moet aan bepaalde voorwaarden voldoen om geldig te zijn. Ook moet bewezen kunnen worden dat en hoe de toestemming gegeven is en moet deze altijd ingetrokken kunnen worden.

Recht op vergetelheid

Het recht op vergetelheid houdt in dat iedereen het recht heeft om verwijderd te worden uit het bestand van een bedrijf of organisatie. Dat recht beperkt zich niet alleen tot organisaties bij wie zij in eerste instantie hun gegevens hebben achtergelaten: deze moeten namelijk ook aan andere organisaties (waaraan zij klantgegevens hebben doorgespeeld) doorgeven deze gegevens te verwijderen. Dus als jij klantgegevens aan andere organisaties hebt gegeven, dan moet je, wanneer je klant vraagt zijn gegevens uit jouw bestand te verwijderen, ditzelfde vragen aan deze andere organisaties die deze gegevens van je hebben ontvangen.

Recht op dataportabiliteit

Het recht op dataportabiliteit houdt in dat de klant op elk moment hun gegevens in een standaard format bij je kan opvragen. Dit recht heeft iedereen, maar wel onder bepaalde voorwaarden. Met dit format is het gemakkelijker om persoonlijke gegevens door te geven aan aanbieders van soortgelijke diensten. Bijvoorbeeld wanneer iemand van leverancier willen veranderen. Indien het technisch gezien mogelijk is, kan er zelfs aan organisaties gevraagd worden om deze informatie voor de klant door te sturen.

Wat moet je doen voor de AVG?

Er zijn een aantal dingen die je moet doen om je voor te bereiden op de AVG. Zo moet iedereen binnen je organisatie om te beginnen bekend zijn met de nieuwe regelgeving en de rechten van diegenen van wie je informatie opgeslagen hebt. Maar er is meer:

  • je moet in een verwerkingsregister inzichtelijk maken welke informatie je opgeslagen hebt, waarom, waar deze informatie opgeslagen is en wie er allemaal bij deze informatie kan,
  • je moet vooraf de risico’s van de gegevensbewerking in kaart hebben gebracht en een data protection impact assessment (DPIA) hebben gemaakt,
  • wanneer je nieuwe producten maakt waarvoor je informatie nodig hebt van bijvoorbeeld de klant, moet je deze informatieverzameling per definitie al beschermend maken voor privacygevoelige gegevens: je mag alleen gegevens opslaan die voor een specifiek doel nodig zijn (privacy by design) en de standaardinstellingen moeten zo privacyvriendelijk mogelijk zijn (privacy by default),
  • als je informatie op grote schaal verwerkt ben je met de nieuwe regels verplicht om een functionaris gegevensbescherming aan te stellen,
  • ook ben je verplicht om lekken te melden, daarom moet je de nu geldende procedures herzien en ervoor zorgen dat de meldplicht voor datalekken hiervan onderdeel uitmaakt,
  • indien je zakendoet met een organisatie die persoonsgegevens voor je verwerkt, moet je hiervoor een bewerkersovereenkomst hebben en al bestaande overeenkomsten moeten worden herzien, en
  • je moet kunnen bewijzen dat en hoe toestemming voor het verwerken van de gegevens is verkregen en dat deze toestemming gegevensverwerking geldig is.

Nog steeds onduidelijkheid

Er zijn enkele vragen die de AP nog niet kan beantwoorden. Dit heeft ermee te maken dat, hoewel de regels op een aantal punten ruimte moet laten voor landen voor eigen invulling, de regels in alle landen van de EU zoveel mogelijk hetzelfde moeten zijn. Ze moeten dus ook hetzelfde uitgelegd kunnen worden. Alleen zo kan ervoor gezorgd worden dat iedereen gelijke rechten en plichten heeft. Er wordt daarom nog gewerkt aan verduidelijking:

“De AP is daarom bezig om samen met andere Europese privacytoezichthouders bepaalde regels en begrippen uit de AVG te verduidelijken. De uitkomsten leggen zij vast in zogenoemde guidelines. Bijvoorbeeld in de guidelines over de functionaris voor de gegevensbescherming (FG) en over het recht op dataportabiliteit.”

Er zijn dus een aantal punten waarin meer vrijheid wordt gegeven aan de landen zelf, zoals het ‘verwerkingsverbod van bijzondere persoonsgegevens’ of de ‘beperkingen van de rechten van de betrokkene’, zo staat ook geschreven op de website van het AP. Uitzonderingen zoals deze worden voor Nederland vastgelegd in de Uitvoeringswet AVG. Echter, aan deze wet wordt nog gewerkt. Er is wel al advies over gedaan.

We hopen dat met dit artikel duidelijk is geworden waarom jij ervoor moet zorgen dat je klantenservice en de rest van je bedrijf zorgvuldig moet omgaan met de gegevens van je klanten. De deadline komt eraan: op 25 mei 2018 moet je aan de nieuwe regels voldoen. Wacht dus niet te lang met je voor te bereiden. Misschien heb je het er al druk mee, overweeg dan eens om je klantencontact uit te besteden.