[Column] Elwin Gastelaars: GDPR: 7 noodzakelijke acties voor iedere publisher
10-04-2018 10:06:00 | Hits: 1521 | columnist: Elwin Gastelaars | Tags:

Wanneer de Algemene Verordening Gegevensbescherming, of de General Data Protection Regulation (GDPR) op 25 mei 2018 in werking treedt, zal dit een aanzienlijke impact hebben op de digitale media en publishers. Privacy is altijd al een belangrijk thema voor de uitgeefsector, maar nu overtredingen van de GDPR kunnen leiden tot boetes - die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet - is de focus groter dan ooit. En terecht.

GDPR in het kort

De GDPR is een nieuwe Europese verordening die de huidige Wet Bescherming Persoonsgegevens vervangt. Deze verordening biedt meer transparantie en controle over persoonsgegevens van betrokkenen, oftewel de mensen van wie je persoonsgegevens verwerkt, en geeft hen aanvullende rechten. Aan de andere kant verplicht ze organisaties die persoonsgegevens verwerken op verschillende vlakken om aan de nieuwe regelgeving te voldoen. Hoewel de wet over niet al te lange tijd in werking zal treden, worstelen nog steeds veel publishers met de implementatie ervan. Om het voor hen overzichtelijker te maken deel ik in dit artikel de zeven belangrijkste acties die een publisher voor 25 mei moet ondernemen.

  1. Stel een Functionaris voor de Gegevensbescherming (FG) aan

Onder de GDPR kunnen organisaties verplicht zijn om een Data Protection Officer (DPO) aan te stellen, in het Nederlands: functionaris voor de gegevensverwerking (FG). Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de GDPR. Het aanstellen van een FG is onder andere verplicht voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, of die op grote schaal persoonsgegevens verwerken. 

  1. Zorg voor bewustwording

Zorg ervoor dat iedereen in je organisatie (met name beleidsmakers) op de hoogte is van de nieuwe privacyregels. Gezien de verstrekkende gevolgen van de GDPR is het van cruciaal belang dat alle medewerkers van je organisatie, en dan met name degenen die met persoonlijke gegevens omgaan, worden geïnformeerd over de regelgeving en hoe deze na te leven. De toezichthoudende autoriteit, de Autoriteit Persoonsgegevens (AP), biedt instrumenten die je kunnen helpen om de GDPR na te leven, zoals de website hulpbijprivacy.nl en de GDPR-regelhulp.

Bij SpotX hebben wij een speciale GDPR-taskforce opgezet om onze interne teams te informeren over de privacyregelgeving. We streven ernaar om een privacygeoriënteerde cultuur in stand te houden en al onze 550+ collega’s uit te rusten met de kennis om de GDPR- regels na te leven. Voor jouw organisatie kan het ook handig zijn om een GDPR-taskforce op te richten die verantwoordelijk is voor het GDPR-bewustzijn in het hele bedrijf.

  1. Begrijp wat de rechten van de betrokken personen zijn

Onder de GDPR krijgen betrokkenen meer en verbeterde rechten. Je moet kunnen waarborgen dat zij deze rechten kunnen uitoefenen. Naast de bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering, zijn er nieuwe rechten, zoals het recht op dataportabiliteit. Dit recht houdt in dat je aan de betrokkene zijn of haar persoonsgegevens in elektronisch formaat moet kunnen verstrekken.

  1. Voer een Data Protection Impact Assessment uit

Onder de GDPR kun je verplicht zijn om een zogeheten gegevensbeschermingseffectbeoordeling uit te voeren, ook bekend als een Data Protection Impact Assessment (DPIA). Dit is verplicht voor gegevensverwerkingen met een hoog risico. Een DPIA is een beoordeling van de verwerking waarin onder andere de beoogde verwerkingen en doeleinden worden beschreven en de noodzakelijkheid en proportionaliteit daarvan worden beoordeeld. Hiermee kunnen privacyrisico’s in kaart worden gebracht en kun je bepalen welke maatregelen nodig zijn om deze risico’s te verkleinen of te elimineren.

  1. Maak een verwerkingsregister

Je bent verplicht alle verwerkingen van persoonsgegevens te documenteren in een verwerkingsregister. Hierin moet worden opgenomen welke verwerking plaatsvindt, met welke categorieën persoonsgegevens, over welke categorieën betrokkenen, wie de ontvangers zijn van de persoonsgegevens en of deze eventueel buiten de EER (Europese Economische Ruimte) zijn gevestigd en wat de retentietermijn is.

  1. Doe een gap-analyse en stel een compliancetraject op

Als alle GDPR-kennis in huis is en alle persoonsgegevens zijn gedocumenteerd, moet je gaan vaststellen welke wijzigingen je nog moet doorvoeren om aan de regelgeving te voldoen. In sommige gevallen moet je bijvoorbeeld klanten opnieuw toestemming vragen om te voldoen aan de GDPR. Enkele van de belangrijkste gebieden die je mogelijk moet aanpakken:

  • Bepaal hoe jouw organisatie kan voldoen aan inzageverzoeken. Betrokkenen hebben namelijk het recht om toegang te vragen tot de persoonlijke gegevens die je van hen verwerkt. Houd er daarom rekening mee dat je systemen moet instellen om die gegevens binnen een maand aan hen te verstrekken. Als je verwacht dat je organisatie grote hoeveelheden van deze verzoeken moet verwerken, is het misschien een idee om geautomatiseerde systemen in te voeren die betrokkenen in staat stellen om gemakkelijk online toegang te krijgen tot deze informatie.

  • Bepaal welke van de zes wettelijke grondslagen op jou van toepassing zijn om persoonsgegevens te verwerken, zodat je weet welke impact dat op je organisatie zal hebben. Het is raadzaam om je nu al te verdiepen in de grondslag die op je organisatie van toepassing is, dan heb je voldoende tijd om volledige naleving volgens die grondslag te bereiken.

  • Bekijk je huidige privacyverklaring en identificeer de wijzigingen die je moet aanbrengen. De informatieverplichting is onder de GDPR uitgebreid. Zorg voor eerlijke en transparante communicatie naar je gebruikers over de verwerking van persoonsgegevens en over de instanties met wie deze persoonsgegevens worden gedeeld.

  1. Selecteer uw leidende toezichthouder

Als je organisatie alleen actief is in Nederland, heb je enkel te maken met de AP als toezichthouder. Maar is je organisatie in meerdere landen gevestigd? Dan kan het handig zijn om te bepalen wie jouw leidende toezichthouder voor gegevensbescherming gaat worden. Het selecteren van de juiste autoriteit kun je het beste doen door de toezichthouder te kiezen op de locatie van jouw hoofdkantoor in de EU. Hoewel dit natuurlijk niet verplicht is, kan het je contact met de autoriteiten stroomlijnen en vereenvoudigen als je hier nu al mee start.

Een uitdagend traject

Dat waren dan de belangrijkste stappen. Veel werk? Jazeker! Het klopt dat de wet complex en ingrijpend is en dat veel bedrijven hiervan nog onvoldoende op de hoogte zijn. Bovendien is er nog veel onduidelijkheid over de concrete toepassing van de wet. Maar het staat vast dat de Europese toezichthouders per 25 mei 2018 de GDPR gaan handhaven, waarbij iedereen aan deze wet moet voldoen. Dus ik hoop dat ook jouw organisatie al bezig is met het uitvoeren van bovenstaande acties.

GDPR is een kans

De GDPR boezemt velen angst in, maar deze wet bespoedigt dataprivacypraktijken die al in gang waren gezet. Zoals dataprivacyspecialiste dr. Sachiko Scheuing al zei op het MWG Media Congres: “GDPR is not about privacy, but about ethics”, en daar ben ik het mee eens. GDPR helpt de industrie volwassen te worden. We moeten meer rekening houden met onze eindgebruikers. Laten we daarom de GDPR vooral zien als een kans om houdbare dataprivacypraktijken te creëren.

Bronnen: nuv.nlwww.AP.nl

---

Elwin Gastelaars is oprichter van SpotX Benelux en Scandinavië.

www.spotx.tv
@SpotXBLX

 

Lees ook:

13-03-2018 | [Column] Elwin Gastelaars: Interactief adverteren op connected tv
25-01-2018 | [Column] Elwin Gastelaars: Adverteerders zijn niet enkel slachtoffer

 

Volg het Nederlands MediaNetwerk op Twitter

Volg het Nederlands MediaNetwerk op Facebook

Word lid van de Nederlands MediaNetwerk Groep op LinkedIn

Vacatures in media- en marketingcommunicatie