Aan de slag met de nieuwe privacywetgeving!

Vanaf 25 mei 2018 is in heel Europa de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing. Deze nieuwe wet versterkt onder andere de rechten van betrokkenen, zoals klanten en werknemers, en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken.

Wat is een persoonsgegeven?

Er wordt van een persoonsgegeven gesproken wanneer een bepaalde persoon aan de hand van dat gegeven direct of indirect kan worden geïdentificeerd. Bijna iedere organisatie in de retailbranche krijgt daardoor met deze nieuwe wetgeving te maken, denk alleen al aan het vastleggen van gegevens van klanten die een product kopen in uw winkel, zoals een naam en een e-mailadres of het opslaan van gegevens van werknemers. De Autoriteit Persoonsgegevens (hierna: AP) gaat vanaf 25 mei 2018 strikter handhaven en kan flinke boetes opleggen wanneer een bedrijf of organisatie haar verplichtingen op grond van de AVG niet naleeft. Ook betrokkenen kunnen zich tot de rechter wenden en een schadevergoeding eisen vanwege een onrechtmatige verwerking van hun persoonsgegevens. Hoog tijd dus om aan de slag te gaan en te bekijken waar u staat!

Wat kunt u doen?

De nieuwe privacywetgeving stelt stevige voorwaarden aan de verwerking van persoonsgegevens. Een van die voorwaarden is dat er steeds sprake moet zijn van een grondslag voor die verwerking. Het is daarom van belang eerst in kaart te brengen welke persoonsgegevens u binnen uw organisatie verwerkt en voor welk doel. In uw geval zal dit waarschijnlijk gaan om klantgegevens (zoals NAW-gegevens, e-mailadressen en betaalgegevens), gegevens van de contactpersonen bij uw leverancier, alsook gegevens van werknemers (zoals NAW-gegevens, kopie ID-bewijs, bankrekeningnummers en geslacht). Het uitgangspunt is dat persoonsgegevens alleen voor vooraf omschreven doelen verwerkt mogen worden en dat niet meer gegevens mogen worden verwerkt dan strikt noodzakelijk is om dat doel te bereiken. Voorkomen moet worden dat u allerlei gegevens opslaat, die u eigenlijk niet nodig heeft. Vraag uzelf dus bij elke verwerking van persoonsgegevens af met welk doel u deze gegevens verwerkt en of het noodzakelijk is deze gegevens te verwerken. Zo mag bijvoorbeeld een e-mailadres van een klant worden gebruikt om nieuwsbrieven toe te sturen over soortgelijke producten. Een rechtstreeks e-mailadres van een persoon (zowel zakelijk als persoonlijk) die geen klant is, mag echter alleen worden gebruikt voor direct marketing activiteiten indien daarvoor expliciet toestemming is gegeven. Ook is met het oog op de privacywetgeving van belang na te gaan of hetzelfde doel ook met een minder ingrijpend middel kan worden bereikt. Denk bijvoorbeeld aan het tegengaan van diefstal door uw werknemers: u kunt camera’s ophangen die alleen gericht zijn op de kassalade in plaats van op het gezicht van de betreffende werknemer. Op deze manier blijft de inbreuk op de privacy zo beperkt mogelijk. Hierbij geldt ook dat gegevens niet langer mogen worden bewaard dan nodig.

Organisaties moeten kunnen aantonen dat zij zich aan de AVG houden. Zorg er daarom voor dat de juiste mensen binnen uw organisatie op de hoogte zijn van de nieuwe privacyregels en maak een inschatting welke aanpassingen nodig zijn om aan de AVG te voldoen. Belangrijk is daarnaast ook technisch voldoende maatregelen te treffen om de persoonsgegevens te beveiligen. Hierbij is van belang wie er binnen de organisatie toegang hebben tot de persoonsgegevens (toegangscontroles), of betrokkenen hun gegevens makkelijk kunnen inzien of wijzigen en of het netwerk voldoende is beveiligd.

Zodra u in kaart heeft gebracht welke persoonsgegevens worden verzameld, verwerkt en met welk doel, kan aan de hand daarvan worden bepaald welke verdere stappen uw organisatie zal moeten nemen en welke verplichtingen uw organisatie heeft. Denk bijvoorbeeld aan het opstellen van een privacystatement voor uw klanten en relaties, het bijhouden van een verwerkingsregister, het sluiten van verwerkersovereenkomsten met derden aan wie u de persoonsgegevens ter beschikking stelt en het opstellen of aanpassen van uw personeelsbeleid. In ieder geval moet u voorkomen dat ten onrechte allerlei persoonsgegevens worden verwerkt, terwijl dat eigenlijk niet nodig is. Bewustwording en inzicht krijgen in de persoonsgegevens die u verwerkt, is de eerste stap!