Wijziging Wet Bescherming Persoonsgegevens

Belangrijke wijzigingen in de Wet Bescherming Persoonsgegevens

Vanaf 25 mei 2018 gaat er een nieuwe Europese wetgeving in; De General Data Protection Regulation (GDPR). Ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) in 2018 zal vervangen. Gerrits e-commerce ondersteunt je met deze overgang. Wij vertellen je graag waar je op moet letten en wat we voor je kunnen betekenen.

Wat verandert er?

Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Je moet aan kunnen tonen dat je je aan deze nieuwe wet houdt. Dat is van belang voor de privacy en het voorkomt hoge boetes. Bereid  je hier op tijd op voor! De Autoriteit Persoonsgegevens heeft een handige PDF uitgebracht (In 10 stappen voorbereid op de AVG).

Het recht om vergeten te worden

Onder de GDPR krijgen je klanten meer rechten om de data die je over ze verzamelt in te zien. Naast deze rechten op inzage en correctie en verwijdering krijgen zij ook het recht op dataportabiliteit.  Dat betekent dat persoonlijke informatie altijd te verwijderen moet zijn (‘Right to be Forgotten’) en dat men persoonlijke informatie altijd kan downloaden (‘Right to Download’). Dit moet in een gestructureerd en machine leesbaar digitaal bestand aangeleverd worden. Zo kan het rechtstreeks naar andere instanties overgeheveld kan worden. Gerrits e-commerce ondersteunt je hierbij. Bijvoorbeeld door dit bestand als download aan te bieden in een maatwerk klantportaal. Of door een API te ontwikkelen waarmee personen en organisaties deze data rechtstreeks uit kunnen lezen. Ook kun je gebruik maken van speciale software om deze informatie vanuit andere organisaties in jouw shop te importeren.

Privacy by design & by default

De AVG heeft als verplichte uitgangspunten  privacy by design en privacy by default. Privacy by design houdt in dat je bij het ontwikkelen van je producten en diensten rekening houdt met het hoogste niveau van privacy. Privacy by default betekent dat je niet meer gegevens verzamelt over je klanten dan strikt noodzakelijk. Denk bijvoorbeeld aan het vinkje om een nieuwsbrief te ontvangen dat standaard uit staat. Een ander voorbeeld is om voor een nieuwsbriefabonnement niet meer gegevens te vragen dan strikt noodzakelijk is om deze te versturen. Daarnaast beveilig je alle verzamelde gegevens optimaal. Wij ontwikkelen onze systemen met deze richtlijnen in ons achterhoofd. Daarnaast adviseren wij wat er bij bestaande systemen nodig is om ook aan deze richtlijnen te voldoen.

Risico’s in kaart

In de AVG of GDPR wordt onderscheid gemaakt tussen soorten persoonsgegevens die je verzamelt. Wanneer je als bedrijf veel gegevens verzamelt moet je een aantal extra maatregelen moet nemen. Dat geldt zeker wanneer je gegevens verzamelt met een hoog privacy risico. Het instellen van een Data Protection Officer (DPO) is zo’n maatregel. Een ander voorbeeld is de verplichting om een Data protection impact assesment (DPIA) uit te voeren. Wij kunnen je ondersteunen met de technische aspecten van zo een DPIA.

Inzicht in veiligheid

Je wilt er zeker van zijn dat je website of systeem correct omgaat met privacygevoelige informatie. Wij raden je aan om een Penetratie test uit te laten voeren. Deze test wordt uitgevoerd door een onafhankelijke en gespecialiseerde derde partij. Deze partij onderzoekt het systeem op kwetsbaarheden en rapporteert hierover. Zo kan het systeem vervolgens verbeterd worden. Het kan ook een bewijs zijn dat het systeem op een veilige manier ontwikkeld is. Dit soort testen zijn over het algemeen niet goedkoop. Ze bieden echter wel het beste inzicht in de veiligheid van je systemen.

Conclusie

De GDPR / AVG verzwaart de plichten voor bedrijven op het gebied van privacy. Het wordt belangrijker om de omgang met en de beveiliging van persoonsgegevens centraal te stellen. Je moet hier al rekening mee houden in het systeemontwerp. Vaak wordt dit nog gezien als bijzaak. Hacks en datalekken zijn een direct gevolg hiervan. Met deze wetswijziging ontstaat ook de mogelijkheid voor de Autoriteit Persoonsgegevens om flinke boetes op te leggen. Deze kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van uw organisatie. Daarom is dit het moment om te investeren in de veiligheid van je systemen en processen. Gerrits e-commerce helpt je daar graag mee.