Nieuwe data privacywetgeving 2018: wat verandert er?

Joris Docter -

Per 25 mei zal de nieuwe Europese wet voor de bescherming persoonsgegevens in gaan. Wat houdt deze Algemene Verordening Gegevensbescherming (AVG) precies in en wat betekent dat voor je Gekko account?

 

Waarom een nieuwe data privacywetgeving?

De nieuwe privacywet staat bekend als de Algemene Verordening Gegevensbescherming (AVG) of in Europese context: de General Data Protection Regulation (GDPR). Deze wet gaat over informatiebeveiliging en is met een duidelijke doelstelling gemaakt. Namelijk, om EU-burgers te beschermen tegen organisaties die door middel van trucjes privédata gebruiken zonder dat daar ooit toestemming voor is gegeven. Het tweede doel is om diezelfde organisaties een duidelijk framework te geven waarbinnen ze mogen opereren. De AVG is dus niet alleen een stel regeltjes maar een breed opgezet plan om privacy- en databescherming hoger op de agenda te krijgen. Hiermee moet worden voorkomen dat privacy schendingen zoals het recente Facebook / Cambridge Analytica schandaal niet meer kunnen voorkomen.

 

Drie belangrijkste regels uit de privacywetgeving 2018

Binnen de AVG zijn er drie belangrijke veranderingen die het lastiger maken om de regels te omzeilen:

  1. De AVG geldt voor alle bedrijven die aan burgers in de EU leveren, ongeacht waar het bedrijf zit. Als jouw bedrijf is gevestigd in een bananenrepubliek maar je levert jouw product/dienst wel aan klanten in de EU, dan geldt de nieuwe privacywetgeving ook voor jou

  2. Bedrijven moeten duidelijk aangeven wat ze met de gegevens doen en hier toestemming voor vragen. Je mag dus niet meer allerlei voorwaarden verbergen in de “terms and conditions” die je privacy kunnen schenden. Je moet duidelijk aangeven wat je wil doen met de data van je gebruikers (Bekijk deze video waarin Southpark dit heel goed uitlegt)

  3. De boetes voor schending van de regels worden veel hoger. Zo is de maximale boete die kan worden opgelegd aan een bedrijf 20 miljoen euro. Indien het om een groot bedrijf gaat, is dit 4% van de jaaromzet van het bedrijf. Als je nagaat dat bijvoorbeeld Google een omzet van 70 miljard euro heeft, begrijp je dat voor grote techbedrijven deze privacywetgeving hoog op de agenda staat.

Deze wet voor informatiebeveiliging is dus niet bedoeld voor de gemiddelde Nederlandse ondernemer met een eenmanszaak. En ook voor Gekko zelf heeft de nieuwe AVG geen echte consequenties. We zijn een klein, Nederlands bedrijf en bovendien vragen we altijd al expliciet of we data mogen delen en welke data we mogen delen. Maar toch staan er ook interessante onderdelen in de AVG voor kleinere bedrijven. We lopen daarom door de belangrijkste onderdelen van het framework dat AVG biedt en leggen uit hoe wij dit invullen.

 

Informatiebeveiliging: data gebruiken, opslaan en verwijderen

Een belangrijk onderdeel van de nieuwe privacywetgeving is dat bedrijven moeten aangeven wat ze met de persoonlijke gegevens van klanten gaan doen, voordat ze de gegevens opslaan of gebruiken. Bovendien mogen bedrijven deze gegevens ook niet gebruiken dan voor andere doeleinden dan wat is afgesproken of wat logischerwijs kan worden verwacht. Dan moet je opnieuw toestemming vragen of je de persoonlijke gegevens die je al hebt opgeslagen mag gebruiken voor iets anders.

Daarnaast wordt er van bedrijven verwacht dat ze de data die zij niet gebruiken, verwijderen uit hun systemen. Dit zogenaamde “data minimaliseren” zorgt er voor dat er geen ongebruikte privacygevoelige informatie rond blijft hangen. Als de gegevens lekken, dan is de schade voor de privacy in ieder geval minder groot.

Als laatste moeten bedrijven kunnen garanderen dat jouw gegevens worden verwijderd als je daarom vraagt. Jouw persoonlijke gegevens worden dus door jou gecontroleerd en niet door het bedrijf met wie je de gegevens deelt.

 

Controle over persoonsgegevens ligt bij de gebruiker zelf

Op dit gebied van de nieuwe privacywet, verandert er voor Gekko gebruikers niet zoveel. In principe gebruiken we de gegevens die je achterlaat alleen voor je administratie. Deze data kun je bewerken, downloaden of verwijderen. Als we persoonsgegevens delen met anderen, dan vragen we eerst om je expliciete toestemming. Je weet dus altijd wat voor gegevens we van je hebben, wat we met je gegevens doen en wie er toegang tot heeft.

En hoe zit het met data minimaliseren? Gaan wij jouw administratieve gegevens verwijderen op het moment dat wij denken dat ze niet meer relevant zijn? Onze inschatting is dat veel gebruikers niet blij zullen zijn als bepaalde administratieve gegevens ineens weg zijn, zonder dat ze daar om gevraagd hebben. Zelfs als we dit van te voren aankondigen. Gekko heeft er daarom voor gekozen om nooit gegevens ongevraagd te verwijderen, maar die controle aan de gebruiker zelf te geven. Je kunt in Gekko wanneer je maar wilt, al je gegevens verwijderen.

 

Altijd toegang tot je persoonsgegevens met de nieuwe privacywet

Een tweede onderdeel van het framework dat AVG biedt, gaat over het inzien en gebruiken van je persoonsgegevens. Als een bedrijf je gegevens heeft, dan moet je deze gegevens altijd gemakkelijk kunnen inzien en kunnen downloaden zodat je de informatie ergens anders kan gebruiken. Zo kun je gemakkelijker wisselen van online diensten als je dat wilt en ben je niet al je gegevens kwijt als je besluit met een dienst te stoppen.

Voor Gekko gebruikers verandert er ook in dit opzicht niet veel. Je kunt altijd je gegevens downloaden in je instellingen. Bij Gekko geldt dat jij als gebruiker eigenaar bent van jouw data. De nieuwe privacywetgeving zal daarom niet veel veranderen aan onze manier van werken.

 

Heeft Gekko ook een verwerkersovereenkomst?

In aanloop van deze nieuwe wetgeving hebben we van gebruikers veel vragen gehad over privacy- en data bescherming. Zo werd er vaak gevraagd of we ook een verwerkersovereenkomst gaan sturen. Dit is een overeenkomst waarin wordt gespecificeerd wat er precies met persoonsgevoelige informatie gebeurd. In de meeste gevallen is een verwerkersovereenkomst echter niet nodig. Je kunt bijvoorbeeld ook volstaan met een clausule in in een contract of de Algemene Voorwaarden. Gekko heeft geen aparte verwerkersovereenkomst, omdat onze gebruikersovereenkomst en privacy statement al precies uitleggen wat je met je persoonlijke gegevens doen.

 

Beveiliging van persoonsgegevens binnen Gekko

Een andere veelgestelde vraag van onze gebruikers gaat over beveiliging. Kan Gekko niet gehackt worden? Gekko heeft alle maatregelen genomen om te voorkomen dat ons systeem gehackt wordt en gelukkig is dit tot nu toe ook nooit gebeurd. Helaas kunnen wij niet volledig uitsluiten dat Gekko gehackt wordt. Geen enkel bedrijf kan dat in principe. Er is nu eenmaal altijd een kans dat kwaadwillenden je data proberen te hacken.

Gelukkig erkent ook de AVG dat. Daarom is er een specifieke clausule die aangeeft wat je moet doen als gegevens op straat komen te liggen. Er is een wettelijke verplichting waarin staat dat je binnen 72 uur nadat je het datalek hebt ontdekt, de getroffen personen informeert. Als er dus ooit een datalek op Gekko is, dan zullen we dit direct melden.

 

Wat vind jij van de nieuwe privacywetgeving?

De AVG is dus een nieuwe privacywetgeving die er voor zorgt dat bedrijven jouw data niet kunnen misbruiken. Het lijkt op het eerste gezicht ook een hele logische wet die duidelijkheid schept aan zowel bedrijven als consumenten. Echter, ook met deze nieuwe wet, is privacy- en databescherming een complex onderwerp. Het is daarom ook onderdeel van een doorlopende discussie die wij actief voeren binnen Gekko.

Mocht jij daarom commentaar hebben op dit stuk, een vraag hebben over iets wat we niet hebben behandeld, van mening zijn dat we niet genoeg doen om jouw privacy beschermen of van mening zijn dat we niet transparant/ethisch genoeg zijn, laat het ons dan weten. Je kunt mailen naar info@getgekko.com met onderwerp AVG.

Want net zoals de feedback op de technische kanten van Gekko wordt ook feedback op hoe wij omgaan met jullie persoonsgegevens zeer op prijs gesteld. Alleen door jullie feedback kunnen we leren en beter begrijpen wat jullie belangrijk vinden op het gebied van privacy.

 

Nieuws