Twee maanden na de invoering van de AVG; en nu?

lock-1516242.jpg

We zijn precies twee maanden verder na de invoering van de AVG. Het lijkt er inderdaad op dat betrokkenen hun rechten in groten getale inroepen, zoals het recht op verwijdering. En direct dreigen met boetes en klachten bij de Autoriteit Persoonsgegevens of de Consumentenbond. Lastig, en het zorgt bij bedrijven voor een hoop extra werk. Bedrijven hebben zichzelf echter ook een hoop extra werk bezorgd, denk aan de e-mails die massaal werden gestuurd over updates van de algemene voorwaarden en het opnieuw ophalen van de opt-in voor de nieuwsbrief.

Help, verwerk ik eigenlijk wel persoonsgegevens?

Dacht je dat je als bedrijf niet onder de AVG zou vallen, maar begin je daar nu toch aan te twijfelen? Verwerk je eigenlijk wel persoonsgegevens? Je verwerkt al snel persoonsgegevens. Denk aan een klantenbestand, een lijst op de balie waar mensen hun e-mailadres achter kunnen laten voor de nieuwsbrief of misschien heb je wel een webshop waar cookies gegevens van consumenten registreren. Een voorbeeld daarvan is Google Analytics. Je valt dan inderdaad onder de toepassing van de AVG.

Het is echter nog niet te laat om privacy proof te worden. Begin dan met een verwerkingsregister, dat is het eerste waarnaar de autoriteit kijkt om te bepalen of je de AVG serieus hebt genomen. Lees hier meer over de steekproef over naleving van de nieuwe privacy wetgeving in de private sector die de AP zojuist gestart is.

Moet ik dan ook een e-mail sturen met een update over mijn algemene voorwaarden?

Wanneer je je algemene voorwaarden aanpast, dien je je gebruikers of klanten daarvan op de hoogte te stellen. Dat kan je ook doen wanneer een klant een bestelling plaatst, of wanneer het van toepassing is op het gebruik van een website, wanneer de gebruiker op de website komt. Dit hoeft dus niet per sé in een e-mail. De AVG schreef ook niet voor dat bedrijven voor 25 mei 2018 massaal een e-mail moesten sturen aan hun gebruikers. Alleen maar heel iritant zou je zeggen. Toch lijkt het alsof bedrijven elkaar hier maar in na gingen doen, uit angst voor boetes. Er zijn veel rare dingen langsgekomen! Het is dus altijd aan te bevelen om hier het juiste advies over in te winnen. Want het zou jammer zijn als je hele e-mailbestand onbruikbaar is geworden door een herbevestiging van de opt-in die misschien wel helemaal niet nodig was!

Blijf helder denken; hoe wil je met je klant omgaan?

Misschien had je het allemaal al wel prima op orde voor 25 mei: een transparant privacy- en cookiebeleid, duidelijke voorwaarden en bewaar je de gegevens van je klanten op een veilige server waar niet iedereen zomaar bij kan. Inventariseer dan je datastromen en kijk nog eens goed naar hoe lang je de data bewaart. Dient een klant een verwijderingsverzoek in dan kijk je naar wat je dan inderdaad dient te verwijderen, maar wellicht zijn er ook gegevens die je op basis van een andere grondslag dient te bewaren. Denk daarbij aan ordergegevens die je voor de fiscus beschikbaar moet houden. Blijf je toch twijfelen of je het juiste doet? Win dan advies in van een expert.

BSN op achterkant paspoort? Let op!

travel-1410824_1920.jpg

Bij paspoorten uitgegeven na 9 maart 2014, staat het BSN nummer op de achterkant. Deze wijzigingen zijn doorgevoerd in het kader van identiteitsfraude. Ik kreeg enkele vragen over dit nieuwe paspoort. Kan je je paspoort nu zonder problemen afgeven of laten kopieren, bijvoorbeeld in een hotel?

Afgeven paspoort

Het afgeven van je paspoort is nooit een goed idee. Sterker nog, dit mag je helemaal niet doen. Je weet dan niet wie er allemaal in kunnen kijken en of het wel veilig bewaard wordt. Misschien wordt je paspoort snachts wel gekopieerd of erger nog: gestolen.

Kopieren paspoort

Het is makkelijker om een kopie van je paspoort of legitimatiebewijs mee te nemen, waarop je het servicenummer doorstreept. Ook is het slim het doel te noteren waarvoor je de kopie moet afgeven. In telecomwinkels wordt al jaren gewerkt met een soort ‘masker’, alleen de benodigde gegevens worden daardoor gekopieerd.

De Overheid heeft een app ontwikkeld, de ‘KopieID’. Met deze app kan je zelf heel makkelijk een kopie maken en de benodigde zaken – zoals je Burgerservicenummer – wegstrepen.

Op het nieuwe paspoort staat toch niet meer het BSN vermeld?

Dat lijkt inderdaad het geval te zijn. Kijk je beter, zie je onderin de regels van cijfers echter nog steeds je BSN verstopt. Beter streep je dit dus alsnog door.

Conclusie

Paspoorten uitgegeven naar 9 maart 2014 vermelden geen BSN meer bij overige gegevens. Wel is het terug te zien aan de onderkant van het document. Het advies is daarom dit alsnog door te strepen.

Imke.

 

Lees meer:

KopieID app

Wet algemene bepalingen burgerservicenummer

Paspoort afgeven op vakantie?

GDPR: last of kans?

De General Data Protection Regulation: she’s on her way. 25 mei 2018 is de datum die twee jaar geleden nog zo ver weg leek, maar er nu echt aankomt. Menig artikel is door juristen en de advocatuur geschreven over wat de GDPR inhoudt en betekent voor bedrijven. Opleidingen en seminars worden, ook door niet-juristen, gevolgd. En als het goed is, zijn bedrijven bezig met de inrichting van hun systemen en een werkwijze die GDPR-compliant is. Inmiddels hoor je de terminologie ook vallen bij marketeers en bestuurders en wordt het door veel bedrijven als haakje gebruikt om infosessies te geven, webinars te organiseren etc. Er worden zelfs boeken over de nieuwe wet cadeau gegeven als relatiegeschenk.

De GDPR als last

De GDPR, oftewel de Algemene Verordening Gegevensbescherming (AVG) in het Nederlands, geeft burgers/consumenten meer zeggenschap over hun data en legt een grotere verantwoordelijkheid bij bedrijven om op een zorgvuldige manier met die data om te gaan. Die verantwoordelijkheid gaat gepaard met hele hoge boetes, namelijk tot 4% van de wereldwijde omzet. Bedrijven worden gedwongen om te weten wát zij met persoonsgegevens doen, wélke persoonsgegevens zij verwerken en met welk doel zij dat doen. Ook dient inzichtelijk te worden gemaakt waar die data verwerkt wordt, met welke partijen data gedeeld wordt en hoe lang gegevens worden bewaard. Op zich niets nieuws. Toestemming vragen aan de persoon op wie de verwerking betrekking heeft ook niet, wel dat deze per verwerking teruggetrokken moet kunnen worden. En zo zijn er nog meer veranderingen die technische en organisatorische maatregelen vereisen. Waar liggen dan de kansen?

Customer first

Stel jij als bedrijf de klant echt centraal? Dan doe je dat ook met haar privacy. Pak de gelegenheid aan om je databeleid te koppelen aan je business values. Beschouw jij je klant als toppriority, dan zorg je er ook voor dat de data van je klanten veilig wordt bewaard en niet langer opgeslagen wordt dan nodig is. Dan zorg je er ook voor, dat de klant in het privacystatement kan terugvinden wat er eigenlijk met haar gegevens gebeurt. Dat je inzicht hebt in datstromen. Want de online consument wil herkend worden: online net zo goed als offline. Dat wil zeggen de klant die in de koffiebar waar hij dagelijks komt niet meer hoeft te vragen om cappuccino, wil online net zo goed die op maat gemaakte advertentie zien en geen advertentie van de schoenen die hij net al heeft gekocht. En dat vraagt om segmentering van klantdata, het geven van een identifier om de klant te kunnen herkennen: of hij nou via de app, desktop of mobiele website van je diensten gebruik maakt. Daar liggen dan ook kansen: de klant die zich herkend en veilig voelt en daarom bij jou zijn aankopen doet.

Eerlijk is eerlijk: het is een enorme administratieve last. Datastromen inzichtelijk hebben en vastleggen, overzicht van verwerkers en incidentenregisters bijhouden, beleid en protocollen vastleggen. Maar het is wel dé kans om alle data onder de loep te nemen, processen klantvriendelijker in te richten en nu eindelijk die oude data eens weg te gooien. Ook is dit hét moment om van derde partijen, verwerkers, leveranciers etc. te eisen veiliger met data om te gaan.

Succes!

Imke.

Paspoort afgeven op vakantie?


Ga je nog op vakantie deze zomer? Zorg dat je voorbereid bent in het geval dat het hotel of de camping vraagt om je paspoort of legitimatiebewijs af te geven voor registratie. Zoals ik al in een eerdere post aangaf: je bent dit niet verplicht.

De ANWB zet de voorzorgsmaatregelen en wat ter plekke te doen nog eens onder elkaar op haar site.

Dus?

Het beste is om zelf een kopie van je paspoort mee te nemen met daarop je bsn doorgestreept. Ook kan je op de kopie het doel en de bestemming schrijven. Sta je zonder kopie aan de balie, vraag dan om ter plaatste de noodzakelijke gegevens over te nemen. Staan ze er op om een kopie te maken, vraag dan het bsn nummer door te strepen.

Waarom nou eigenlijk al die moeite?

De voornaamste redenen zijn misbruik van je gegevens en/of identiteitsfraude. Het is echt heel vervelend als er opeens telefoonabonnementen op jouw naam worden afgesloten. Daarnaast vind ik het zelf ook geen prettig idee dat dit soort persoonlijke gegevens rondslingeren in verschillende computers, databases etc. Opgeruimd staat netjes 😉

Fijne vakantie!

Imke.

Spotify..

Een lezer wees mij er op dat de betalende klant (Spotify Premium) wel de mogelijkheid krijgt om de voorwaarden door te lezen. Namelijk 30 dagen. Als je de knop ‘niet nu’ gebruikt. Zal er waarschijnlijk mee te maken hebben dat als je het er niet mee eens bent, je tijdig je betaalde abonnement op kunt zeggen.

Als je betaalt in de vorm van het luisteren naar de advertenties, heb je er dus minder van te vinden. Snap ik op zich wel, maar uiteindelijk wil je toch dat de free rider op termijn ook een betaalde klant wordt. Niet nu in ieder geval 🙂

Serieus, Spotify?

“Neem een paar minuten de tijd om de updates te lezen en te zorgen dat je ze begrijpt”. Een.paar.minuten. SERIEUS Spotify? Alles voor je consument en de ervaring…uhuh. Heb je de hele dag gewerkt en wil je even een nummertje aanzetten voor tijdens het koken, kan je weer aan het werk. Want zonder akkoord te gaan, kan je geen muziek aanzetten.

Open je een van de twee links ontvouwt zich een tekst waar je u tegen zegt. Een paar minuten. Heb ik 6 jaar voor gestudeerd om dit soort teksten te begrijpen. Anyway. Waar is de niet-akkoord knop? Oh niet akkoord gaan is niet mogelijk. Je moet op “accepteren” klikken volgens het begeleidende tekstje. Alleen…die knop staat er niet, er staat ‘akkoord’ op de knop. Moet je nagaan als dat kleine tekstje al niet klopt, wat staat er dan in die 20 pagina’s met voorwaarden? Of zijn de voorwaarden getypt door juristen en de pop-up door marketing? Lekker afgestemd.

Spotify gaat er vast vanuit dat iedereen toch wel op akkoord klikt om muziek te kunnen luisteren. Want daar open je natuurlijk ook Spotify voor, niet omdat je net zin had in een lekkere juridische tekst.

Ik had het netter gevonden als ze me even per mail op de hoogte hadden gesteld van de nieuwe voorwaarden. Of hebben ze mijn specifieke akkoord nodig om het contract over te zetten? Kom ik ook niet echt uit op het eerste gezicht. Erg klantvriendelijk is het in ieder geval niet. En dan heb ik de voorwaarden zelf nog niet eens gelezen. Ga ik nu ook niet doen trouwens, heb inmiddels al een lekker muziekje op staan 😉