Paniek rondom nieuwe Europese privacywet is helemaal niet nodig

Paniek rondom nieuwe Europese privacywet is helemaal niet nodig

maandag 28 mei 2018

Eind deze week treedt de nieuwe Europese privacywet, de GDPR, eindelijk echt in werking. Al langer is bekend dat veel organisaties deze ‘deadline’ om er aan te voldoen niet zullen halen, ook al hadden zij hiervoor twee jaar de tijd. Een schrale troost: acht van de 28 EU-lidstaten hebben op 25 mei aanstaande nog niet eens de nieuwe privacyregels omgezet in hun lokale regelgeving.

Onze overheid was zelf maar nipt op tijd. Twee weken geleden is het Nederlandse implementatievoorstel voor de GDPR goedgekeurd. GDPR-compliant worden, is belangrijk, maar momenteel is de gekte rondom de GDPR buitenproportioneel, met alle risico’s van dien. Organisaties en ook degenen van wie de gegevens worden verwerkt, zijn daarbij niet gebaat. De datum van 25 mei is geen deadline, maar een markeerpunt.

Onder dreiging van torenhoge boetes, in combinatie met een grote dosis stemmingmakerij en hardnekkige misverstanden, laten organisaties, groot én klein, zich al maandenlang — maar nu explosief — verleiden tot ongekende paniekacties. Ook de media dragen daaraan bij. In plaats van de naleving te bevorderen, vliegen verkeerde adviezen je om de oren. Daardoor gaan zelfs de meest basale dingen fout. Een paar voorbeelden.


Bizar is dat GDPR niet tot aanpassing van de regels rond direct marketing heeft geleid

Vanwege het momentum van de GDPR bombarderen organisaties thans hun klanten en prospects met ‘we want to stay connected with you’ e-mail berichten. De ontvangers van de berichten wordt gevraagd om alsnog hun toestemming te geven voor het krijgen van interessante nieuwsuitingen van de organisatie, terwijl hun toestemming hiervoor vaak helemaal niet nodig was. Sterker nog, het vragen van de toestemming per e-mail leidt veelal zelfs tot schending van het spamverbod. Misschien het meest bizarre van het geheel is nog wel dat de komst van de GDPR de regels rond direct marketing helemaal niet aangepast heeft.

Een tweede voorbeeld zijn de inmiddels befaamde verwerkersovereenkomsten die in het wilde weg worden rondgestuurd. Een verwerkersovereenkomst moet alleen worden gesloten met partijen die de persoonsgegevens ook echt alleen volgens de instructies van de opdrachtgever mogen verwerken, zoals een IT-dienstverlener of een salarisverwerkingsbureau, en niet bijvoorbeeld een leasemaatschappij of een pensioenfonds. Eveneens zijn verzoeken om GDPR-proof verklaringen te ondertekenen, schering en inslag, terwijl dat soort verklaringen niet vereist zijn en de juridische waarde ervan valt te bezien. Kortom, onjuiste juridische documenten worden afgesloten, en partijen houden elkaar veelal onnodig in de houdgreep wanneer deze documenten niet ondertekend teruggestuurd worden.

Een derde voorbeeld is dat ongetrainde personen, dat wil zeggen zonder enige GDPR-kennis, en met soms ook een conflicterend belang, opeens de lastige taak van functionaris voor gegevensbescherming (FG) op hun bordje krijgen. De functie van FG laat zich niet verenigen met alle taken. Het mag bijvoorbeeld niet ook de hr-manager, hoofd marketing of financieel directeur zijn. Er mag niet te lichtzinnig gedacht worden over de aanstelling van de FG.

Al deze nerveuze acties vormen een groot risico voor de organisaties zelf. En erger nog, zij verslechteren eerder de bescherming van de privacy van de betrokkenen in plaats van dat zij deze verbeteren. Dit is uiteraard niet de bedoeling van de GDPR. Daarom hierbij een advies: druk even op de pauzeknop; ook na 25 mei gaat het leven door. Boze menigten en de privacytoezichthouder, de Autoriteit Persoonsgegevens, staan heus niet overal meteen op de stoep.

Veel organisaties voldeden al niet aan de vorige wet en proberen nu krampachtig achterstallig onderhoud snel en ondoordacht uit te voeren. Dat is vragen om moeilijkheden. Als nu niet op een beheerste en praktische wijze de juiste fundering wordt gelegd, zakt het privacybeleid straks als een kaartenhuis in elkaar. Er moet dan weer opnieuw worden begonnen.

Let wel, wij bepleiten niet dat de GDPR onbelangrijk is of dat je niets meer hoeft te doen. Integendeel, alle organisaties dienen vooral voortvarend door te gaan, maar zij moeten zich daarbij niet blindstaren op 25 mei of vlak daarna. Juist ook na die datum is het zaak de privacy compliance acties goed doordacht uit te voeren.



Bron FD Online - woensdag 23 mei - Opinie | Elisabeth Thole en Özer Zivali, advocaten privacy recht bij Van Doorne.

Wij respecteren uw privacy 
Net als veel bedrijven zijn ook wij te laat begonnen met het ondernemen van acties om op 25 mei volledig aan de Algemene Verordening Gegevensbescherming te voldoen. Hoewel wij altijd respectvol en met het oog op uw privacy met door u verstrekte gegevens zijn omgegaan, nemen wij op dit moment extra maatregelen om aan de regels van de verordening te voldoen. Dit betekent onder meer dat we op korte termijn aanmeldingen voor activiteiten of onze nieuwsberichten alleen nog kunnen verwerken als u zich ook registreert met gegevens door middel van een door uzelf gekozen inlogcode. 

Een voordeel is dat u bij een registratie voor een andere activiteit niet meer opnieuw uw gegevens hoeft in te vullen. Niet omdat we daarvoor cookies gebruiken, maar omdat u inlogt en we uw gegevens direct uit ons gegevensbestand aan een formulier toevoegen.

Een tweede voordeel is dat u hierdoor altijd direct inzage heeft in uw persoonlijke gegevens. Deze direct zelf kunt aanpassen en beheren en wij daarnee ook direct voldoen aan uw 'recht op inzage' die de AVG voorschrijft. 

Er zit ook een nadeel aan deze werkwijze: u dient zich eenmalig te registeren als uw gegevens niet al eerder in ons gegevensbestand zijn opgenomen. En  u krijgt er weer een inlogcode en wachtwoord bij. Maar zoals bij bijna alle systemen kunt u aangeven dat u die combinatie wilt opslaan en is er uiteraard een mogelijkheid om online een nieuwe gebruikersnaam en een nieuw wachtwoord aan te vragen. En dat gaat volledig op een versleutelde wijze vanuit het systeem.

Uiteraard hebben wij een verwerkersovereenkomst met Procurios, onze webhostingspartner die voor ons de website en het daaraan gekoppelde systeem voor gegevensopslag beheert. Zijn pagina's en formulieren op onze website voorzien van een beveiligingscertificering (https:// notatie voor pagina's op onze site en onlineformulieren). Is er standaard een 'afmeldbutton' in onze e-mailnieuwsberichten. En last but not least zullen wij uw persoonlijke gegevens nooit aan derden verstrekken.

Met deze en andere maatregelen staan wij in voor de privacy van u en uw gegegevens en zijn wij van mening dat we voldoen aan de Algemene Verordening Gegevensbescherming.

« Terug

Nieuwsarchief > 2018

november

oktober

september

augustus

juli

juni

mei

april

maart

februari

januari

Our Phone Number: 085-104 65 36
Close