Er heerst grote drukte in mijn zakelijke inbox: iedereen stuurt privacy verklaringen, toestemming voor de nieuwsbrief, bevestigingen, nieuw beleid. De privacy verordening die 25 mei ingaat maakt heel wat los.
De feiten op een rij:
- Wist je dat deze wet al in 2016 is ingevoerd? Hij wordt vanaf 25 mei gehandhaafd. Dan, althans zo luiden de berichten, gaat men controleren of iedereen zich hier ook aan houdt.
- De Autoriteit Persoonsgegevens zal de handhaving op zich nemen. Naar verluidt met iets meer dan 125 medewerkers. Ik ben benieuwd naar hun plannen. Wens ze ook veel sterkte.
- Wat moet je wel en wat niet doen?
- Je moet toestemming vragen en krijgen voor het gebruiken van persoonsgegevens. Dus voor je nieuwsbrief, de verwerking van facturen maar ook voor de verwerking van data met gevoelige gegevens. Had je al toestemming? Dan hoeft dat niet nogmaals gevraagd te worden.
- Je moet je gegevens aantoonbaar beveiligen. Niet alleen met wachtwoorden, maar ook fysiek. Dus usb-sticks en laptops in de kluis, beveiligde clouddiensten en ga zo maar door.
- Klanten, gebruikers van je diensten hebben het recht hun gegevens bij jou te wissen. In iedere nieuwsbrief moet je die mogelijkheid bieden. Officieel heet dat ‘het recht om te worden vergeten’.
- De organisaties (ook de ZZP-ers en kleine ondernemers) moeten een verwerkingsfunctionaris aanwijzen. Ze moeten checks uit kunnen voeren en eventuele beveiligingslekken doorgeven. En ik had al zoveel petten op.
Maar wat verandert er nu echt? Immers, als onderzoekers ben je al gehouden aan de onderzoeksethiek van het vertrouwelijk verwerken van gegevens. Bij iedere nieuwsbrief waar je je aanmeldt geef je al automatisch toestemming, je facturen liggen ook niet echt op straat. Je hoeft echt niet iedereen opnieuw toestemming te vragen voor gebruik van gegevens. Wat je feitelijk moet doen is beter opletten: waar staan je gegevens en wie kan erbij, wat gebeurt ermee en zijn ze veilig. En je moet dit kunnen aantonen.
Wordt het dan echt veiliger? Mogen we straks niet eens meer leuke foto’s maken op vakantie als daar mensen opstaan die je heus allemaal geen toestemming gaat vragen? Zo wordt het natuurlijk niet, maar dat gegevens van personen beter beschermd gaan worden is wel duidelijk. En dat moest ook als je bedenkt dat heel veel persoongegevens ‘op straat’ liggen. Ik heb zelf al een aantal maatregelen getroffen, persoonsgegevens op een veilige plek, toestemming vragen voor verwerking, bestanden na verwerking niet zelf opslaan, maar terugsturen naar de opdrachtgever.
Voor onderzoekers geeft deze verordening veel extra werk. Wat te denken als je gegevens gaat verzamelen onder studenten voor een onderzoek naar studiesucces? Je moest al toestemming hebben, maar nu moet er een heel veiligheidsplan geschreven worden alvorens de universiteit je groen licht geeft. Ik zag al een aantal malen projecten uitgesteld worden om deze reden.
Websites, automatiseringskantoren, vakbonden, allemaal verstrekken ze andere informatie over de AVG. Je ziet door de bomen het bos niet meer. En wat als je iCloud, of Google clouddiensten gebruikt voor opslag? Dan moet je eigenlijk een contract met deze instellingen afsluiten. Daar beginnen Apple en Google niet aan, dus dan mag je daar je gegevens niet meer archiveren. Ik heb inmiddels hulp ingeschakeld. Mensen die weten waar je op moet letten en wat je moet doen om je gegevens veilig te bewaren. Wel een leuk verdienmodel, eigen clouddienst, advies bij beveiliging. Bij mij zijn je gegevens straks gelukkig veilig.
Tot snel!