5 tips voor betere privacy compliance

Een recent voorbeeld van nieuwe en strengere privacywetgeving is de meldplicht datalekken,  onlangs behandeld in de Tweede Kamer. Volgens het wetsvoorstel moeten bedrijven die verantwoordelijk zijn voor persoonsgegevens een melding maken bij het College Bescherming Persoonsgegevens wanneer gegevens uitlekken. Wanneer zij dit niet doen, kan hen een boete van maximaal €450.000 opgelegd worden. Verder zal in 2016 waarschijnlijk een nieuwe Europese Privacy Verordening in werking treden, die de huidige nationale privacywetgeving zal vervangen. Voor bedrijven zullen vanaf dan strengere regels gaan gelden voor privacy compliance.

Wanneer u in strijd handelt met de bepalingen uit de Wet bescherming persoonsgegevens loopt u het risico om een boete of een last onder dwangsom te krijgen van de toezichthouder (het College Bescherming Persoonsgegevens). Onder de nieuwe verordening krijgen toezichthouders meer (boete)bevoegdheden, waardoor de boetes kunnen oplopen tot maar liefst €1 miljoen of 2% van de jaarlijkse globale omzet per overtreding! Daarnaast kan ook reputatieschade zorgen voor gederfde omzet. 

Voor bedrijven wordt het dus steeds belangrijker om na te denken over privacy en overeenkomstig de regels te handelen. Omdat de wetgeving niet eenvoudig is en het vaak niet duidelijk is wat er wel en niet mag, worstelen veel bedrijven hiermee. Hieronder daarom vijf tips om privacy compliance te vergroten en het risico op boetes of reputatieschade te verkleinen.

Breng allereerst in kaart welke persoonsgegevens er binnen uw organisatie verwerkt worden en waarvoor. Persoonsgegevens zijn gegevens die direct of indirect zijn te herleiden tot een individu, bijvoorbeeld namen en adressen. Ook de informatie uit persoonlijke (online) profielen of accounts kunnen persoonsgegevens zijn. Met de komst van ‘big data’ zijn er zoveel gegevens over personen beschikbaar, dat ook gegevens die in eerste instantie niet te herleiden zijn tot een individu in combinatie met elkaar tóch identificerend zijn. Daarom kunt u er al snel vanuit gaan dat er sprake is van persoonsgegevens.

Persoonsgegevens mogen alleen verwerkt worden voor vooraf bepaalde doeleinden, bijvoorbeeld klantbeheer, statistische analyses of marketingactiviteiten. Deze doeleinden moeten duidelijk en niet te ruim omschreven zijn.

Nadat u in kaart heeft gebracht welke gegevens uw organisatie verwerkt en waarvoor, kijkt u of die verwerkingen toegestaan zijn volgens de Wet bescherming persoonsgegevens. De wet noemt zes wettelijke grondslagen om persoonsgegevens te mogen verwerken. Een van de belangrijkste is toestemming: als betrokkenen er ondubbelzinnig mee instemmen, mag u hun gegevens verwerken. Andere grondslagen hebben betrekking op de aantoonbare noodzakelijkheid om de gegevens te mogen verwerken, zoals de uitvoering van een overeenkomst, de goede vervulling van een publiekrechtelijke taak of de behartiging van uw gerechtvaardigde belangen.

__________________________________________________________________________________
Volg de Vijfdaagse opleiding Risicomanagement | 35 PE punten
Tijdens deze opleiding ontdekt u in vijf dagen alle facetten van integraal risicomanagement. Wat gebeurt er als morgen uw grootste klant zijn rekeningen niet meer kan betalen? Na afloop zet u uw kredietverstrekker op scherp en creëert u samen met uw handelspartners oplossingen die bestand zijn tegen zwaar financieel weer. Verstevig groei en waarborg continuïteit. Klik hier voor meer informatie en aanmelden.
__________________________________________________________________________________

Hoe is het gesteld met het interne privacybeleid binnen uw organisatie? Hoe gaat uw organisatie om met de privacy van klanten, wie is hiervoor verantwoordelijk, hoe wordt er in de praktijk invulling gegeven aan het beleid, in welke mate zijn werknemers zich bewust van privacy? Deze en andere vragen zult u moeten beantwoorden om te bepalen hoe het gesteld is met de privacy compliance binnen uw organisatie. 

Als u het niveau van privacy compliance binnen uw organisatie bepaald heeft, zijn er als het goed is sterke en zwakke plekken naar voren gekomen. Op basis hiervan kunt u uw privacybeleid aanpassen, of een privacybeleid opstellen als dat er nog niet was. In dit beleid legt u vast hoe uw organisatie met gegevens omgaat, maar ook hoe er intern met privacy wordt omgegaan. Cursussen en trainingen kunnen ook onderdeel van het privacybeleid binnen de organisatie zijn.

Stel iemand aan binnen uw organisatie die verantwoordelijk is voor het handhaven en monitoren van het privacybeleid, bijvoorbeeld een Privacy Officer. Hij of zij informeert en adviseert over de wettelijke verplichtingen die uw organisatie heeft, ziet toe op de toepassing en uitvoering van uw privacybeleid, wijst verantwoordelijkheden toe aan medewerkers binnen uw bedrijf en draagt zorg voor het opleiden en trainen van personeel dat te maken heeft met privacy. Onder de nieuwe verordening is het voor veel bedrijven verplicht om een Privacy Officer aan te stellen, maar ook nu is het al raadzaam om dat te doen.

De bovenstaande stappen geven een indicatie van hoe u de privacy compliance binnen uw organisatie kunt vergroten. Uiteraard komt er altijd meer bij kijken en is er kennis en ervaring op het gebied van privacy nodig om de juiste beslissingen te kunnen maken, welke kennis u ook extern kunt inhuren.